RevengeHotels è una campagna portata avanti da diversi gruppi che utilizzano i Remote Access Trojans (RATs) per infettare le aziende del settore alberghiero. Attiva dal 2015, la campagna ha intensificato la propria attività nel corso del 2019. Almeno due gruppi, RevengeHotels e ProCC, sono stati identificati tra i componenti.
L’indagine di Kaspersky RevengeHotels: cybercrime targeting hotel desks worldwide ha confermato che più di 20 hotel in Europa, America Latina e Asia sono stati presi di mira da attacchi malware mirati. È possibile che un numero anche maggiore di hotel sia stato colpito in tutto il mondo. I dati delle carte di credito dei turisti, archiviati in un sistema di gestione alberghiera, compresi quelli ricevuti dalle agenzie di viaggio online (OTA), rischiano di essere rubati e venduti ai criminali in tutto il mondo.
Il principale vettore di attacco di questa campagna è costituito da email che contengono documenti Word, Excel o PDF malevoli. Alcuni di questi sfruttano la vulnerabilità CVE-2017-0199, utilizzando gli script VBS e PowerShell per il caricamento. Successivamente installano sul dispositivo della vittima versioni personalizzate di diversi RAT e altri malware, come ProCC, che consentono di impostare l’accesso da remoto ai sistemi infetti e di eseguire alcuni comandi.
Tutte le email di spear-phishing sono state realizzate con particolare attenzione ai dettagli e impersonando utenti reali di aziende legittime che effettuano una falsa richiesta di prenotazione per un numeroso gruppo di persone. Le email contengono talmente tanti dettagli (tra cui copie di documenti legali o motivazioni legate alla prenotazione) che anche gli utenti più accorti potrebbero essere indotti ad aprire e scaricare gli allegati di questi messaggi. L’unico dettaglio che potrebbe smascherare l’attaccante è un errore di tipo “typosquatting”, ovvero un errore di digitazione nel dominio dell’organizzazione.
Una volta che il computer viene infettato, il gruppo criminale non è l’unico ad avere la possibilità di accedervi. Secondo i dati raccolti dai ricercatori di Kaspersky, l’accesso da remoto alle informazioni dei front desk, diventano oggetto di compravendita sui forum utilizzati dai criminali a cui si accede con una sottoscrizione. Dopo l’infezione il malware raccoglie dati dagli appunti dei front desk, dagli spooler di stampa e dagli screenshot (questa funzione è stata attivata utilizzando parole specifiche in inglese o in portoghese). Questo può portare alla compromissione anche dei dati delle carte di credito degli utenti poiché spesso, per addebitare il costo delle prenotazioni, il personale dell’albergo trascrive questo tipo di informazioni dai sistemi OTA.
Secondo la telemetria di Kaspersky sono state registrate vittime in Europa, nello specifico in Italia, Francia, Portogallo e Spagna, ma anche in Argentina, Bolivia, Brasile, Cile, Costa Rica, Messico, Thailandia e Turchia. Tuttavia, stando ai dati raccolti tramite Bit.ly, il popolare servizio di abbreviazione dei link utilizzato dagli attaccanti per diffondere link malevoli, i ricercatori di Kaspersky suppongono che gli utenti di molti altri Paesi abbiano avuto accesso al link dannoso per cui è possibile che il numero dei Paesi coinvolti sia più alto.
“Considerato che gli utenti diffidano sempre più di quanto siano veramente protetti i loro dati, i cybercriminali colpiscono aziende di piccole dimensioni, in quanto archiviano un buon numero di dati personali e non sono protette in modo ottimale dai cyberattacchi. Gli albergatori e le altre aziende di piccole dimensioni che gestiscono i dati dei clienti devono prestare maggiore attenzione e applicare soluzioni di sicurezza professionali per evitare violazioni dei dati che potrebbero danneggiare non solo i clienti, ma anche la reputazione dell’hotel, ha dichiarato Dmitry Bestuzhev, Head of Global Research and Analysis Team, LatAm.
Per effettuare prenotazioni in tutta sicurezza Kaspersky consiglia di:
- Utilizzare una carta di pagamento virtuale per le prenotazioni effettuate tramite OTA, in quanto queste carte scadono normalmente dopo un solo addebito.
- Quando si paga una prenotazione o si effettua il check-out alla reception dell’hotel, utilizzare un portafoglio virtuale, come Apple Pay o Google Pay, o una carta di credito secondaria con una quantità limitata di credito disponibile.
Per proteggere i dati dei clienti Kaspersky raccomanda ad albergatori e amministratori di:
- Condurre una valutazione dei rischi della rete esistente e implementare le norme relative a trattamento dei dati dei clienti
- Utilizzare una soluzione di sicurezza affidabile con funzionalità di protezione web e di controllo delle applicazioni, come Kaspersky Endpoint Security for Business. La protezione web aiuta a bloccare l’accesso ai siti web malevoli e di phishing, mentre il controllo delle applicazioni (in modalità white list) garantisce che nessuna applicazione, ad eccezione di quelle incluse nella white list, possa essere eseguita sui computer del front desk.
- Introdurre corsi di formazione sulla sicurezza per il personale per consentire ai dipendenti di riconoscere i tentativi di spear-phishing e sensibilizzarli su quanto sia importante prestare attenzione alle email in entrata.
