Více než 20 hotelů z Evropy, Asie a Latinské Ameriky se stalo obětí cíleného malwarového útoku. Potvrdila to analýza odborníků z Kaspersky zaměřená na kyberzločinnou kampaň RevengeHotels. Údaje o kreditních kartách, které jsou uloženy v hotelových administračních systémech, včetně těch zprostředkovaných online cestovními kancelářemi, mohou být ukradeny a prodány na černém trhu.
RevengeHotels je kampaň, do které jsou zapojené různé hackerské skupiny využívající tradiční Remote Access Trojans (RAT). Tyto trojské koně umožňující vzdálený přístup do počítačových systémů kyberzločinci využili k infikování IT v pohostinství. Jejich aktivita šahá až do roku 2015, ale svého vrcholu dosáhla až letos. Doposud se podařilo prokázat, že se na šíření této kampaně podílely skupiny RevengeHotels a ProCC, ale odborníci předpokládají, že je do ní zapojeno více skupin.
Hlavní zbraní kyberzločinců v této kampani jsou e-maily s přiloženými škodlivými Word, Excel nebo PDF dokumenty. Některé z nich zneužívaly zranitelnost CVE-2017-0199 za pomoci načtení skriptů VBS a PowerShell. Poté došlo k nainstalování uzpůsobených verzí různých RAT a dalších malwarů, jako je například ProCC. Takto napadené zařízení následně může provádět příkazy, které vyústí v nainstalování vzdáleného přístupu do infikovaného systému.
Každý spear-phishingový e-mail byl vytvořen se zvláštním důrazem na detail a obvykle byl poslán jménem skutečné osoby působící v reálné organizaci. Obsahoval přitom žádost o rezervaci ubytování pro velkou skupinu lidí. Je nutné uvést, že i zkušený a obezřetný uživatel by mohl být takovým e-mailem oklamán. Obsahuje totiž velké množství detailů (jako jsou kopie právních dokumentů nebo důvody pro rezervaci v hotelu), které navádějí k otevření zhoubných příloh. Jedinou drobností, která by mohla odhalit útočníka, je špatně uvedená doména organizace v adrese odesilatele.
Odborníci z Kaspersky zjistili, že po infikování počítače do něj nemusí mít vzdálený přístup pouze strůjci útoku. Mají důkazy, že přístup do recepčních počítačů a k jejich datům jsou prodávány na zločineckých online fórech formou předplatného. Malware shromažďoval data z clipboardů recepčních počítačů, data zaslaná do tiskáren nebo dělal dokonce snímky obrazovky (tuto funkci spustila specifická slova v angličtině a portugalštině). Protože zaměstnanci hotelů často zkopírovali údaje o kreditních kartách klientů internetových cestovních kanceláří (za účelem fakturace), mohli útočníci zneužít i tyto informace.
Telemetrie společnosti Kaspersky potvrdila infikované hotelové počítače ve Francii, Itálii, Portugalsku, Španělsku, Turecku, Argentině, Bolívii, Brazílii, Čile, Kostarice, Mexiku a Thajsku. Na základě dat extrahovaných z Bit.ly (oblíbené služby pro zkracování odkazů, kterou útočníci používali) odborníci předpokládají, že škodlivý odkaz otevřela spousta uživatelů z dalších zemí. Proto výčet zemí a obětí nejspíše není konečný.
Aby byli turisté na svých cestách v bezpečí, doporučují odborníci z Kaspersky následující:
Hotely by pro zvýšení bezpečnosti měly následovat tyto tipy: