Inhaltsverzeichnis
Cyberangriff auf den Las Vegas Strip: Teenager stellt sich
Zwischen August und Oktober 2023 wurden mehrere Casino-Betriebe am Las-Vegas-Strip Ziel „ausgeklügelter“ Cyberangriffe. Betroffen waren insbesondere MGM Resorts International, u. a. MGM Grand, Cosmopolitan, Bellagio, Luxor, Excalibur sowie Caesars Entertainment. Die Las Vegas Metropolitan Police Department (LVMPD) bestätigte die Zeitschiene in einer Pressemitteilung vom 19. September und sprach von ausgeklügelten Netzwerk-Einbrüchen.
Modus Operandi: Social-Engineering und schneller Systemzugriff
Am 17. September 2025 stellte sich ein männlicher Jugendlicher im Clark County Juvenile Detention Center den Behörden. Der Name wurde aufgrund des Minderjährigenstatus nicht veröffentlicht.
Die Angriffe werden einer organisierten Hacker-Gruppe zugeschrieben, die unter mehreren Aliasen agiert: „Scattered Spider“, „Octo Tempest“, „UNC3944“ und „0ktapus“.
Was die MGM-Attacke angeht, war die Vorgehensweise bemerkenswert einfach: Über LinkedIn erschlich sich ein Angreifer am Telefon gegenüber der IT-Abteilung die Identität eines MGM-Mitarbeiters und erwirkte eine Passwort-Zurücksetzung. Etwa 10 Minuten später bestand Zugriff auf interne Systeme (Bericht: SFGATE).
In der Folge wurden laut Berichten Spielautomaten und Hotelschlüsselkarten deaktiviert, E-Mail-Zugänge von Mitarbeitern blockiert sowie Buchungen und Reservierungen verhindert. MGM meldete diese Vorfälle auch gegenüber der US-Börsenaufsicht SEC.
Auswirkungen auf MGM: zehn Tage Stillstand, 100 Mio. USD Verlust
MGM bezifferte den finanziellen Schaden in einer SEC-Meldung mit rund 100 Millionen US-Dollar. Der Betrieb war rund zehn Tage massiv gestört; betroffen waren Gehaltsläufe, Check-in-Systeme, Spielautomaten, Zimmerschlüssel und Websites.
Trotz zeitweiser Abschaltung von Systemen, um weiteren Datendiebstahl zu verhindern, kam es laut MGM dennoch zu Datenabflüssen. Kompromittiert wurden Kundendaten wie Telefonnummern, E-Mail-Adressen, Wohnadressen, Geschlecht, Geburtsdaten sowie Führerschein-, Sozialversicherungs- und Passnummern.
MGM erklärte, kein Lösegeld gezahlt zu haben. CEO Bill Hornbuckle bezeichnete die Attacke als „Unternehmensterrorismus in Reinkultur“.
Auswirkungen auf Caesars: Datendiebstahl und mutmaßliche Lösegeldzahlung
Caesars Entertainment meldete in einer eigenen SEC-Eingabe, dass Angreifer Zugriff auf Kundendaten erhalten hatten, darunter Führerschein- und Sozialversicherungsnummern von Teilnehmern des Treueprogramms. Das Unternehmen erklärte, man habe
„…Maßnahmen ergriffen, um sicherzustellen, dass die gestohlenen Daten von dem unbefugten Akteur gelöscht werden, obwohl wir dieses Ergebnis nicht garantieren können“.
Cybersicherheitsexperten interpretierten diese Formulierung, u. a. laut NBC News, als Hinweis darauf, dass Caesars die Täter bezahlt habe. Berichten zufolge, darunter das Wall Street Journal, habe Caesars 15 Millionen US-Dollar von geforderten 30 Millionen US-Dollar und gezahlt geringere Betriebsstörungen als MGM verzeichnet.
Ermittlungen, Festnahmen und Anklagen
Die Ermittlungen leitete die Las Vegas Cyber Task Force des FBI, der auch die Cyber-Ermittler der LVMPD angehören. Der nun inhaftierte jugendliche Verdächtige sieht sich sechs Anklagepunkten gegenüber:
- Drei Fälle der Beschaffung und Verwendung persönlicher Identitätsdaten einer anderen Person zum Zweck der Schädigung oder Identitätsübernahme
- Ein Fall Erpressung
- Ein Fall Verschwörung zur Erpressung
- Ein Fall rechtswidrige Handlungen in Bezug auf Computer
Die Staatsanwaltschaft von Clark County beantragt, den Fall an die Strafkammer zu verweisen. Der Jugendliche könnte als Erwachsener angeklagt werden. Bereits im Juli 2024 war ein 17-jähriger Brite wegen Erpressung und Computermissbrauchs im Zusammenhang mit ähnlichen Vorfällen angeklagt worden.
Im November 2024 erhoben Bundesstaatsanwälte Anklage gegen vier bis fünf Männer im Alter von 20 bis 23 Jahren, die mutmaßlich zur Gruppe „Scattered Spider“ gehören. Diese Anklagen wurden nicht offiziell mit den Vorfällen bei MGM und Caesars verknüpft.
Neben den Aliasen „Scattered Spider“, „Octo Tempest“, „UNC3944“ und „0ktapus“ tauchte auch der Ransomware-Akteur „AlphV/Alpha“ (auch „BlackCat“) im Kontext der MGM-Attacke auf. AlphV reklamierte Verantwortung für den MGM-Hack.
Parallelereignisse in Nevada
Während Nevada sich jüngst von einem Cyberangriff auf staatliche Netzwerke erholt, bleiben DMV und weitere Behörden teilweise betroffen. Ebenfalls wurden zwei Angriffe auf den Clark County School District (CCSD) bekannt, darunter ein Datenleck im Herbst 2023, bei dem vertrauliche Schülerinformationen im Darknet auftauchten.
Eine Verhaftung wurde in diesem Zusammenhang nicht berichtet. Diese Vorfälle stehen zwar nicht in direkter Verbindung zu den Angriffen auf MGM/Caesars, markieren jedoch den breiteren Bedrohungsrahmen in Nevada.
Die Angriffe auf MGM und Caesars zeigen, wie effektiv Social-Engineering gegen Helpdesk-Prozesse sein kann, selbst in hochgradig regulierten Branchen. Die Mischung aus Identitätsdiebstahl, schneller Privileg-Eskalation und Ransomware-Taktiken führte binnen kürzester Zeit zu massiven Betriebsstörungen und Datenabflüssen.
Während MGM kein Lösegeld zahlte und hohe Folgekosten verbuchte, reduzierte Caesars durch eine mutmaßliche Zahlung die Betriebsunterbrechungen, akzeptierte jedoch das Risiko anhaltender Datennachnutzung.
Quellen:
Bildquelle:
