Cercetarea Kaspersky asupra campaniei RevengeHotels, ce vizează industria ospitalităţii, a confirmat că peste 20 de hoteluri din America Latină, Europa şi Asia au căzut victime ale unor atacuri malware direcţionate.
Este posibil ca un număr mai mare de hoteluri să fie afectate pe tot globul. Datele cardurilor turiştilor, stocate într-un sistem de administrare hotelieră, inclusiv cele primite de la agenţii online de turism (OTA), risca să fie furate şi vândute infractorilor din întreaga lume.
RevengeHotels este o campanie a diferite grupuri care utilizează troieni tradiţionali cu acces de la distanţă (RAT) pentru a infecta companiile din sectorul ospitalităţii. Campania este activă din 2015, dar a început să-şi mărească prezența în 2019. Cel puţin două grupuri, RevengeHotels şi ProCC, au fost identificate ca făcând parte din campanie, cu toate că există posibilitatea ca mai multe grupuri de infractori cibernetici să fie implicate.
Principalul vector de atac din această campanie este reprezentat de e-mail-uri cu documente infectate - Word, Excel sau PDF. Unele dintre ele exploatează vulnerabilitatea CVE-2017-0199, încărcând-o cu ajutorul script-urilor VBS şi PowerShell şi apoi instalează versiuni personalizate ale diferitelor RAT-uri, precum şi alte programe malware personalizate, cum ar fi ProCC, pe dispozitivul victimei, care ulterior ar putea executa comenzi şi configura accesul de la distanţă la sistemele infectate.
Fiecare e-mail de spear-phishing a fost elaborat cu o atenţie deosebită asupra detaliilor şi, de obicei, pretinde a veni din partea unor persoane reale din organizaţii legitime, făcând o cerere de rezervare falsă pentru un grup numeros. De remarcat este faptul că inclusiv utilizatorii atenţi ar putea fi păcăliţi să deschidă şi să descarce anexele din aceste e-mailuri, deoarece includ o mulţime de detalii (de exemplu, copii ale documentelor legale şi motivaţia pentru care fac rezervarea la hotel) şi arată convingător. Singurul detaliu care l-ar da de gol pe atacator ar fi un domeniu de typosquatting al organizaţiei.
Odată infectat, computerul putea fi accesat de la distanţă nu doar de grupul de infractori cibernetici - dovezile colectate de cercetătorii Kaspersky arată că accesul de la distanţă la recepţiile hotelurilor şi la datele pe care le conţin sunt vândute pe forumuri ilegale, pe bază de abonament. Programele malware au colectat date din fişele hotelurilor, din programele de imprimantă şi au făcut capturi de ecran (această funcţie a fost declanşată folosind anumite cuvinte în engleză sau portugheză). Deoarece personalul hotelului a copiat de multe ori datele cardului de credit ale clienţilor din OTA pentru a factura, aceste date ar putea fi, de asemenea, compromise.
Telemetria Kaspersky a confirmat existenţa unor ţinte în Argentina, Bolivia, Brazilia, Chile, Costa Râca, Franţa, Italia, Mexic, Portugalia, Spania, Thailanda şi Turcia. În plus, pe baza datelor extrase din Bit.ly, un serviciu popular de scurtare a link-urilor, utilizat de atacatori pentru a răspândi link-uri periculoase, cercetătorii Kaspersky presupun că utilizatorii din multe alte ţări au accesat, cel puţin, link-ul periculos, sugerând că numărul de ţări cu posibile victime ar putea fi mai mare.
„Pe măsură ce utilizatorii devin mai precauţi în legătură cu cât de protejate sunt cu adevărat datele lor, infractorii cibernetici se îndreaptă către afacerile mici, care adesea nu au o protecţie foarte bună împotriva atacurilor cibernetice şi deţin numeroase date cu caracter personal", explică Dmitry Bestuzhev, Head of Global Research and Analysis Team, America Latină. „Hotelierii şi reprezentanţii altor firme mici care se ocupă cu datele clienţilor trebuie să fie mai precauţi şi să aplice soluţii personalizate de securitate pentru a evita scurgerile de date care ar putea să afecteze nu doar clienţii, ci şi reputaţia hotelului."
Pentru a rămâne în siguranţă, turiştii sunt sfătuiţi să:
- Utilizeze un card de plată virtual pentru rezervările efectuate prin OTA, deoarece aceste carduri expiraă în mod normal după o singură tranzacţie.
- Atunci când plătesc o rezervare sau fac check ouţ la recepţia hotelului, să utilizeze un portofel virtual, cum ar fi Apple Pay sau Google Pay, sau un card de credit secundar, cu o sumă limitată de bani disponibili.
De asemenea, proprietarii şi managerii de hoteluri trebuie să urmeze aceşti pasi pentru a securiza datele clienţilor:
- Efectuaţi evaluări de risc ale reţelei existente şi implementaţi reglementări privind modul în care sunt gestionate datele clienţilor.
- Utilizaţi o soluţie de securitate fiabilă, cu funcţii de protecţie web şi controlul aplicaţiilor. Protecţia web ajuta la blocarea accesului la site-urile de phishing şi la cele infectate, în timp ce controlul aplicaţiilor (în modul „white list") vă permite să vă asiguraţi că nicio aplicaţie, cu excepţia celor aprobate, nu poate rula pe computerele din hoteluri.
- Introduceţi training-uri de awareness în domeniul securităţii cibernetice, pentru personal, cu scopul de a-i învăţa pe angajaţi să detecteze tentativele de spear-phishing şi să le arate importanța de a rămâne foarte atenţi atunci când lucrează cu e-mail-urile primite.
Fiți la curent cu ultimele noutăți. Urmăriți DCNews și pe Google News