28 listopada 2019

RevengeHotels: cyberprzestępcy kradną dane dotyczące kart kredytowych klientów z recepcji hotelowych na całym świecie

Badanie przeprowadzone przez firmę Kaspersky dotyczące kampanii RevengeHotels, której cel stanowiła branża hotelarska, potwierdziło, że ponad 20 hoteli w Ameryce Łacińskiej, Europie oraz Azji padło ofiarą ataków ukierunkowanych przy użyciu szkodliwego oprogramowania. W rzeczywistości liczba ta może być jeszcze wyższa. Dane podróżujących dotyczące ich kart kredytowych, które są przechowywane w hotelowym systemie administracyjnym, łącznie z tymi otrzymywanymi z internetowych biur podróży, są narażone na kradzież i sprzedaż cyberprzestępcom na całym świecie.


RevengeHotels to kampania obejmująca różne ugrupowania stosujące tradycyjne trojany zdalnego dostępu w celu infekowania podmiotów z branży hotelarskiej. Została zapoczątkowana w 2015 r., jednak w 2019 r. nasiliła się. W kampanii uczestniczą co najmniej dwie grupy cyberprzestępcze - dotychczas zidentyfikowane to RevengeHotels oraz ProCC - jednak może ich być więcej.

Ataki w ramach omawianej kampanii przeprowadzane są głównie za pośrednictwem wiadomości e-mail zawierających specjalnie stworzone dokumenty Worda, arkusze Excela lub pliki PDF. Niektóre z nich wykorzystują luki w zabezpieczeniach i instalują na atakowanych maszynach niestandardowe wersje różnych trojanów zdalnego dostępu oraz innego nietypowego szkodliwego oprogramowania, takiego jak ProCC, które mogą następnie wykonywać polecenia oraz ustanawiać zdalny dostęp do zainfekowanych systemów.

Każdy e-mail wysyłany w ramach spersonalizowanego phishingu był tworzony z niezwykłą starannością, a nadawcy zwykle podszywali się pod realne osoby z istniejących organizacji, dokonując fałszywych rezerwacji dla dużej grupy osób. Wato zaznaczyć, że nawet ostrożnym osobom niełatwo byłoby powstrzymać się przed otwarciem i pobraniem załączników z takich wiadomości, które nie tylko zawierały mnóstwo szczegółów (np. kopie legalnych dokumentów oraz cele rezerwacji hotelowych), ale również wyglądały bardzo przekonująco.

Po zainfekowaniu komputera zdalny dostęp do niego mogło mieć nie tylko samo ugrupowanie cyberprzestępcze - dowody zebrane przez badaczy z firmy Kaspersky wskazują na to, że taki dostęp do recepcji hotelowej i znajdujących się w komputerach danych jest często sprzedawany w formie subskrypcji za pośrednictwem forów przestępczych. Szkodliwe oprogramowanie gromadziło dane ze schowków komputerów hotelowych, kolejek wydruku, jak również przechwytywało zrzuty ekranu (funkcja ta była aktywowana przy użyciu określonych słów w języku angielskim bądź portugalskim). Ponieważ personel hotelu często kopiował dane dot. kart kredytowych klientów z internetowych biur podróży w celu pobrania opłat, również te dane były narażone na kradzież.

Telemetria firmy Kaspersky potwierdziła, że cele ataków omawianej kampanii znajdowały się w Argentynie, Boliwii, Brazylii, Chile, na Kostaryce, we Francji, Włoszech, Meksyku, Portugalii, Hiszpanii, Tajlandii oraz Turcji. Jednak z danych uzyskanych z Bit.ly, popularnego serwisu służącego do skracania odnośników, badacze z firmy Kaspersky wnioskują, że użytkownicy z wielu innych krajów co najmniej kliknęli szkodliwy link, dlatego liczba państw, w których znajdują się potencjalne ofiary, może być wyższa.

Ponieważ użytkownicy zwracają coraz większą uwagę na ochronę swoich danych, cyberprzestępcy zaczynają interesować się małymi firmami, które często nie są dobrze zabezpieczone przed cyberatakami i posiadają ogromne ilości danych osobowych. Hotelarze i inne małe firmy, które mają do czynienia z danymi klientów, muszą zachować większą ostrożność i stosować profesjonalne rozwiązania bezpieczeństwa w celu uniknięcia wycieków danych, które mogłyby nie tylko narazić klientów, ale również zniszczyć reputację hotelu - powiedział Dmitrij Bestużew, szef Globalnego Zespołu ds. Badań i Analiz firmy Kaspersky w regionie Ameryki Łacińskiej.

Porady bezpieczeństwa

Dla zachowania bezpieczeństwa osobom podróżującym zaleca się następujące środki ostrożności:

  • W celu dokonywania rezerwacji za pośrednictwem internetowych biur podróży korzystaj z wirtualnych kart płatniczych, które zwykle tracą ważność po jednej transakcji.
  • Płacąc za rezerwację lub przy wymeldowywaniu się w recepcji hotelowej korzystaj z portfela wirtualnego, takiego jak Apple Pay lub Google Pay, lub dodatkowej karty kredytowej z ograniczoną ilością dostępnych środków.
Właściciele i dyrektorzy hoteli powinni podjąć następujące działania w celu zabezpieczenia danych klientów:

  • Przeprowadź ocenę ryzyka dla swojej sieci i stosuj się do przepisów dotyczących postępowania z danymi klientów.
  • Stosuj niezawodne rozwiązanie bezpieczeństwa z funkcją ochrony sieci WWW oraz kontrolą aplikacji, takie jak np. Kaspersky Endpoint Security for Business. Kontrola sieci WWW pomaga blokować dostęp do phishingowych lub szkodliwych stron internetowych, podczas gdy kontrola aplikacji (w trybie białej listy) uniemożliwi uruchomienie na komputerach w recepcji hotelowej jakichkolwiek aplikacji, które nie zostały wcześniej zaaprobowane.
  • Wprowadź szkolenie w zakresie zwiększenia świadomości bezpieczeństwa dla pracowników, aby nauczyć ich, jak rozpoznać próby ataków phishingu ukierunkowanego, oraz nakreślić im, jak ważne jest zachowanie czujności wobec przychodzących wiadomości e-mail.
Więcej informacji na temat kampanii cyberprzestępczej RevengeHotels znajduje się na stronie https://r.kaspersky.pl/pY5pn.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.

Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.