Více než 20 hotelů z Evropy, Asie a Latinské Ameriky se stalo obětí zacíleného malwarového útoku. Potvrdila to analýza odborníků z Kaspersky zaměřená na kyberzločinnou kampaň RevengeHotels. Údaje o kreditních kartách, které jsou uloženy v hotelových administračních systémech, včetně těch zprostředkovaných online cestovními kancelářemi, mohou být ukradeny a prodány na černém trhu.
RevengeHotels je kampaň, do které jsou zapojené různé hackerské skupiny využívající tradiční Remote Access Trojans (RAT). Tyto trojské koně umožňující vzdálený přístup do počítačových systémů kyberzločinci využili k infikování IT v pohostinství. Jejich aktivita šahá až do roku 2015, ale svého vrcholu dosáhla až letos. Doposud se podařilo prokázat, že se na šíření této kampaně podílely skupiny RevengeHotels a ProCC, ale odborníci předpokládají, že je do ní zapojeno více skupin.
Hlavní zbraní kyberzločinců v této kampani jsou e-maily s přiloženými škodlivými Word, Excel nebo PDF dokumenty. Některé z nich zneužívaly zranitelnost CVE-2017-0199 za pomoci načtení skriptů VBS a PowerShell. Poté došlo k nainstalování uzpůsobených verzí různých RAT a dalších malwarů, jako je například ProCC. Takto napadené zařízení následně může provádět příkazy, které vyústí v nainstalování vzdáleného přístupu do infikovaného systému.
Každý spear-phishingový e-mail byl vytvořen se zvláštním důrazem na detail a obvykle byl poslán jménem skutečné osoby působící v reálné organizaci. Obsahoval přitom žádost o rezervaci ubytování pro velkou skupinu lidí. Je nutné uvést, že i zkušený a obezřetný uživatel by mohl být takovým e-mailem oklamán. Obsahuje totiž velké množství detailů (jako jsou kopie právních dokumentů nebo důvody pro rezervaci v hotelu), které navádějí k otevření zhoubných příloh. Jedinou drobností, která by mohla odhalit útočníka, je špatně uvedená doména organizace v adrese odesilatele.
Odborníci z Kaspersky zjistili, že po infikování počítače do něj nemusí mít vzdálený přístup pouze strůjci útoku. Mají důkazy, že přístup do recepčních počítačů a k jejich datům jsou prodávány na zločineckých online fórech formou předplatného. Malware shromažďoval data z clipboardů recepčních počítačů, data zaslaná do tiskáren nebo dělal dokonce snímky obrazovky (tuto funkci spustila specifická slova v angličtině a portugalštině). Protože zaměstnanci hotelů často zkopírovali údaje o kreditních kartách klientů internetových cestovních kanceláří (za účelem fakturace), mohli útočníci zneužít i tyto informace.
Telemetrie společnosti Kaspersky potvrdila infikované hotelové počítače ve Francii, Itálii, Portugalsku, Španělsku, Turecku, Argentině, Bolívii, Brazílii, Čile, Kostarice, Mexiku a Thajsku. Na základě dat extrahovaných z Bit.ly (oblíbené služby pro zkracování odkazů, kterou útočníci používali) odborníci předpokládají, že škodlivý odkaz otevřela spousta uživatelů z dalších zemí. Proto výčet zemí a obětí nejspíše není konečný.
Aby byli turisté na svých cestách v bezpečí, doporučují odborníci z Kaspersky následující:
- Pro rezervace prostřednictvím online cestovních kanceláří používejte virtuální platební karty. Jejich výhodou je, že expirují po provedení první a tedy jediné platby.
- Při placení a odhlašování v hotelu, použijte pro platbu některou z virtuálních peněženek, jako je například Apple Pay nebo Google Pay. Případně je dobré používat dvě kreditní karty, z nichž jedna má nastavený omezený limit.
Hotely by pro zvýšení bezpečnosti měly následovat tyto tipy:
- Provést zhodnocení rizik své současné sítě a zavést předpisy, týkající se nakládání s údaji zákazníků
- Používat účinné bezpečnostní řešení s webovou ochranou a kontrolou aplikačních aktivit, jako je například Kaspersky Endpoint Security for Business. Webová ochrana pomáhá zablokovat přístup k phishingovým a škodlivým stránkám, přičemž kontrola aplikací zajišťuje, že na recepčních počítačích mohou být spuštěny pouze předdefinované aplikace.
- Pravidelně školte personál v oblasti IT bezpečnosti, díky čemuž snáze poznají spear-phishingový e-mail.
Celý report o RevengeHotels kampani si můžete přečíst na blogu Securelist.