28. november 2019 - Raziskava družbe Kaspersky o kampanji RevengeHotels, ki je ciljala gostinsko-hotelirski sektor, je potrdila, da je več kot 20 hotelov v Evropi, Aziji in Južni Ameriki postalo žrtev ciljanega napada zlonamerne programske opreme. Možno je, da je bilo po celem svetu število napadenih hotelov še višje. Hoteli imajo kopico podatkov o svojih gostih, ki jih pridobijo neposredno od gostov in tudi od spletnih potovalnih agencij. Tako so ob napadih podatki kreditnih kartic gostov, ki so shranjeni v administrativnem sistemu hotela, ogroženi; preti jim kraja in prodaja kriminalcem po celem svetu.
Kampanja RevengeHotels vključuje različne skupine, ki za okužbo podjetij v gostinsko-hotelirskem sektorju uporabljajo tradicionalne trojanske konje, ki potencialno omogočajo oddaljen dostop (angl. Remote Acess Trojans). Kampanja je aktivna že od leta 2015, a je znatno povečala svojo prisotnost v letu 2019. Vsaj dve skupini, RevengeHotels in ProCC, sta bili prepoznani kot del kampanje, a možno je, da je vključenih še več kriminalnih skupin.
Glavni dejavnik napada te kampanje je elektronska pošta s pripetimi zlonamernimi dokument v obliki Word, Excel in PDF. Nekatere od njih izkoriščajo ranljivost CVE-2017-0199, ki jo naložijo s pomočjo skriptnega programskega jezika VBS in okvirja za avtomatizacijo nalog in upravljanje konfiguracij PowerShell. Na uporabnikov računalnik zlonamerni programi namestijo različice trojanskega konja ter drugo zlonamerno programsko opremo, kot je ProCC, ki lahko kasneje izvrši ukaze in vzpostavi oddaljen dostop do okuženega sistema.
Vsaka elektronska pošta, ki cilja določeno organizacijo ali posameznika, z namenom nepooblaščenega dostopa do občutljivih informacij je bila zasnovana s posebno pozornostjo za podrobnosti. Običajno pooseblja prave osebe iz legitimnih organizacij, ki za veliko skupino ljudi naročajo – lažno – rezervacijo. Pri tem je lahko tudi previden uporabnik zaveden, da odpre in prenese priponko. Takšna elektronska sporočila namreč vsebujejo veliko podrobnosti, kot so na primer fotokopije legalnih dokumentov, razlog za rezervacijo hotela in drugi podatki. Tako ta elektronska sporočila izgledajo zelo prepričljivo. Edina podrobnost, ki bi lahko razkrila napadalca, je domena organizacije, ki je na las podobne nekaterim najbolj znanim, a jim ni enaka (angl. typosquatting domain).
Dokazi, ki so jih zbrali raziskovalci družbe Kaspersky, kažejo, da lahko do okuženega računalnika oddaljeno ne dostopa le skupina kibernetskih kriminalcev, ampak je oddaljen dostop do sistemov hotelov in podatkov, ki jih ti imajo, na podlagi naročnine prodan na kriminalnih forumih. Zlonamerna programska oprema je tako zbrala podatke iz odložišč namizij hotelov, tiskalnikov v ozadju in zajetih posnetkov zaslona. Slednja funkcija je bila sprožena z uporabo specifičnih besed v angleščini ali portugalščini. Ker je hotelsko osebje od spletnih potovalnih agencij pogostokrat kopiralo podatke kreditnih kartic gostov, bi lahko bili ti podatki ogroženi.
Telemetrija družbe Kaspersky je potrdila, da so bile tarče v Italiji, Franciji, Španiji, na Portugalskem pa tudi v Turčiji, Argentini, Boliviji, Braziliji, Čilu, Kostariki, Mehiki in na Tajskem. Glede na podatke, ki so jih pridobili od priljubljene storitve za skrajševanje povezav Bit.ly, ki so jo uporabljali napadalci za širjenje zlonamernih povezav, raziskovalci družbe Kaspersky predvidevajo, da so tudi uporabniki iz številnih drugih držav vsaj dostopali do zlonamernih povezav. To nakazuje, da bi lahko bilo število držav s potencialnimi žrtvami še višja.
»Uporabniki postajajo vedno bolj pazljivi glede zaščite svojih podatkov. Kibernetski kriminalci se tako preusmerjajo na mala podjetja, ki po navadi niso dobro zaščitena pred kibernetskimi napadi, hkrati pa imajo zbirko določenih osebnih podatkov. Hotelirji in druga mala podjetja, ki upravljajo s podatki kupcev, bi morali biti bolj pazljivi in uporabljati profesionalne varnostne rešitve, da se izognejo uhajanju podatkov. To namreč potencialno ne vpliva le na njihove stranke, ampak lahko škodi tudi ugledu podjetja,« je izpostavil Dmitry Bestuzhev, vodja ekipe družbe Kaspersky za globalne raziskave in analize za Južno Ameriko.
Družba Kaspersky popotnikom za zaščito priporoča naslednja ukrepa:
- Za rezervacije, ki jih izvedete preko spletnih potovalnih agencij, uporabite virtualne plačilne kartice. Te namreč po navadi potečejo po enem polnjenju.
- Ko plačujete rezervacijo oz. se odjavljate iz hotela, uporabite virtualno denarnico, kot sta na primer Apple Pay ali Google Pay, ali kreditno kartico, ki ima na voljo omejeno bremenitev.
Lastnikom in upravljalcem hotelov in drugih namestitev strokovnjaki svetujejo, da za zaščito podatkov gostov sledijo naslednjim korakom:
- Izvedite oceno tveganja za obstoječe omrežje in vpeljite predpise, kako ravnati s podatki strank.
- Uporabljajte zanesljivo varnostno rešitev, ki vsebuje spletno zaščito in nadzor funkcionalnosti aplikacij, kot je Kaspersky Endopoint Security for Business. Spletna zaščita pomaga blokirati dostop do spletnih strani s spletnim ribarjenjem in zlonamernih spletnih strani. Nadzor aplikacij z uporabo funkcije omejevanja delovanja (angl. white list mode) poskrbi, da nobena aplikacija, razen določenih, ne
morejo delovati na računalnikih organizacije.
- Uvedite izobraževanje zaposlenih o pomenu varnosti. Naučite jih, kako opaziti zlonamerno elektronsko pošto, ki cilja določeno organizacijo ali posameznika, z namenom nepooblaščenega dostopa do občutljivih informacij. Tako jim pokažete, kako pomembno je, da so pozorni pri ravnanju z vhodno elektronsko pošto.
Celotno poročilo o kampanji RevengeHotels z naslovom 'RevengeHotels: cybercrime targeting hotel desks worldwide' je dostopno na spletnem mestu Securelist.
