RevengeHotelses una campaña en la que participan varios grupos con la intención de infectar a empresas hoteleras mediante la utilización de Troyanos de Acceso Remoto (RATs). La campaña ha estado activa desde 2015 y ha aumentado de forma significativa su presencia en 2019. Al menos dos grupos, RevengeHotels y ProCC, han participado en la campaña; y es probable que también estén involucrados otros grupos cibercriminales.
El principal vector de ataque en esta campaña son emails con archivos adjuntos maliciosos en formato Word, Excel o PDF. Algunos de ellos explotan la vulnerabilidad CVE-2017-0199 mediante scripts VBS y PowerShell, y posteriormente instalando versiones personalizadas de variosRATs y otros archivos de malware personalizados, tales como ProCC, en el equipo de las víctimas. De esta forma pueden ejecutar comandos y configurar el acceso remoto a los sistemas infectados.
Cada email despear-phishing utilizado ha sido diseñado con gran atención al detalle y habitualmente se hace pasar por remitentes reales de organizaciones legítimas que pedían efectuar reservas para grandes grupos de turistas. Conviene tener en cuenta que incluso los usuarios más avezados podían caer víctima del engaño y abrir y descargarlos archivos adjuntos debido al gran nivel de detalle (por ejemplo, copias de documentos legales o información sobre los motivos por los que pedían hacer una reserva en el hotel), por lo que los mensajes resultaban convincentes. El único detalle que podía servir para comprobar que se trataba de un ataque era un pequeño cambio ortográfico en el nombre del dominio de la organización del supuesto remitente.
Email de phishing enviado a un hotel que intentaba hacerse pasar por una petición de un bufete de abogados
Una vez infectado el equipo, el grupo de cibercriminales podía acceder al mismo de forma remota o incluso, según los investigadores de Kaspersky, vender el acceso remoto a las recepciones y a los datos que contienen esos sistemas en foros criminales a través de una suscripción. El malware recogía datos del portapapeles de las recepciones, de la cola de impresión de las impresoras o capturas de pantalla. En este último caso, el malware detonaba la función de captura de pantalla mediante la utilización de determinadas palabras en inglés o en portugués. Los datos también podían verse comprometidos porque el personal de los hoteles muchas veces copiaba los datos de tarjeta de crédito de sus clientes de las bases de datos de las agencias de viaje online para poder efectuar el cargo.
Los datos de telemetría de Kaspersky confirman que han sido objetivo de estos ataques hoteles en España, Argentina, Bolivia, Brasil, Chile, Costa Rica, Francia, Italia, México, Portugal, Tailandia y Turquía. Por otra parte, y según los datos extraídos de Bit.ly, un servicio para acortar los enlaces de páginas web que los atacantes utilizaban para diseminar enlaces maliciosos, los investigadores de Kaspersky han llegado a la conclusión de que usuarios de muchos otros países podrían haber accedido al enlace malicioso, un factor que parece indicar que el número de países con víctimas potenciales podría ser mayor.
“A medida que aumenta la precaución de los usuarios por la privacidad de sus datos, los cibercriminales recurren cada vez más a pequeñas empresas, que a menudo no cuentan con un alto nivel de protección frente a los ciberataques y disponen de un gran número de datos personales. Por consiguiente, los hoteleros y otras pequeñas empresas que gestionan los datos personales de sus clientes deben extremar la cautela y adoptar soluciones de seguridad profesionales para evitar filtraciones de datos que pueden no sólo afectar a los clientes sino también dañar la reputación de los hoteles”, ha comentado Dmitry Bestuzhev, responsable del equipo global de análisis e investigación para LatAm.
Para mantenerse seguros se recomienda a los viajeros que:
El sector hotelero también debe tomar una serie de medidas para proteger los datos de sus clientes, entre ellas: