España, uno de los países afectados por la campaña RevengeHotel

10 diciembre, 2019
7 Compartido 1,178 Visualizaciones

La investigación de Kaspersky sobre la campaña RevengeHotels dirigida al sector hotelero ha confirmado que más de 20 hoteles en Europa, Asia y América Latina han sido víctimas de ataques de malware dirigidos. Como consecuencia, los datos de las tarjetas de crédito de los viajeros almacenados en los sistemas de administración de los hoteles, incluidos los procedentes de las agencias de viaje online, corren el riesgo de ser sustraídos y vendidos a criminales de todo el mundo.

RevengeHotels es una campaña en la que participan varios grupos con la intención de infectar a empresas hoteleras mediante la utilización de Troyanos de Acceso Remoto (RATs). La campaña ha estado activa desde 2015 y ha aumentado de forma significativa su presencia en 2019. Al menos dos grupos, RevengeHotels y ProCC, han participado en la campaña; y es probable que también estén involucrados otros grupos cibercriminales.

El principal vector de ataque en esta campaña son emails con archivos adjuntos maliciosos en formato Word, Excel o PDF. Algunos de ellos explotan la vulnerabilidad CVE-2017-0199 mediante scripts VBS y PowerShell, y posteriormente instalando versiones personalizadas de varios RATs y otros archivos de malware personalizados, tales como ProCC, en el equipo de las víctimas. De esta forma pueden ejecutar comandos y configurar el acceso remoto a los sistemas infectados.

Cada email de spear-phishing utilizado ha sido diseñado con gran atención al detalle y habitualmente se hace pasar por remitentes reales de organizaciones legítimas que pedían efectuar reservas para grandes grupos de turistas. Conviene tener en cuenta que incluso los usuarios más avezados podían caer víctima del engaño y abrir y descargar los archivos adjuntos debido al gran nivel de detalle (por ejemplo, copias de documentos legales o información sobre los motivos por los que pedían hacer una reserva en el hotel), por lo que los mensajes resultaban convincentes. El único detalle que podía servir para comprobar que se trataba de un ataque era un pequeño cambio ortográfico en el nombre del dominio de la organización del supuesto remitente.

Una vez infectado el equipo, el grupo de cibercriminales podía acceder al mismo de forma remota o incluso, según los investigadores de Kaspersky, vender el acceso remoto a las recepciones y a los datos que contienen esos sistemas en foros criminales a través de una suscripción. El malware recogía datos del portapapeles de las recepciones, de la cola de impresión de las impresoras o capturas de pantalla. En este último caso, el malware detonaba la función de captura de pantalla mediante la utilización de determinadas palabras en inglés o en portugués. Los datos también podían verse comprometidos porque el personal de los hoteles muchas veces copiaba los datos de tarjeta de crédito de sus clientes de las bases de datos de las agencias de viaje online para poder efectuar el cargo.

Los datos de telemetría de Kaspersky confirman que han sido objetivo de estos ataques hoteles en España, Argentina, Bolivia, Brasil, Chile, Costa Rica, Francia, Italia, México, Portugal, Tailandia y Turquía. Por otra parte, y según los datos extraídos de Bit.ly, un servicio para acortar los enlaces de páginas web que los atacantes utilizaban para diseminar enlaces maliciosos, los investigadores de Kaspersky han llegado a la conclusión de que usuarios de muchos otros países podrían haber accedido al enlace malicioso, un factor que parece indicar que el número de países con víctimas potenciales podría ser mayor.

“A medida que aumenta la precaución de los usuarios por la privacidad de sus datos, los cibercriminales recurren cada vez más a pequeñas empresas, que a menudo no cuentan con un alto nivel de protección frente a los ciberataques y disponen de un gran número de datos personales. Por consiguiente, los hoteleros y otras pequeñas empresas que gestionan los datos personales de sus clientes deben extremar la cautela y adoptar soluciones de seguridad profesionales para evitar filtraciones de datos que pueden no sólo afectar a los clientes sino también dañar la reputación de los hoteles”, ha comentado Dmitry Bestuzhev, responsable del equipo global de análisis e investigación para LatAm.

Para mantenerse seguros se recomienda a los viajeros que:

  • Utilicen una tarjeta de pagos virtual para reservas efectuadas a través de agencias de viaje online teniendo en cuenta que estas tarjetas normalmente caducan después de un único pago.
  • Recurran a un monedero electrónico como Apple Pay o Google Pay o una tarjeta de crédito secundaria con un saldo limitado a la hora de efectuar una reserva o pagar la factura en la recepción del hotel.

El sector hotelero también debe tomar una serie de medidas para proteger los datos de sus clientes, entre ellas:

  • Realizar una auditoría de riesgos de su red e implementar regulaciones en materia de gestión de datos de los clientes
  • Utilizar una solución de seguridad fiable con protección web y funcionalidades de control de aplicaciones, tales como Kaspersky Endpoint Security for Business. La protección web ayuda a bloquear el acceso a páginas maliciosas o de phishing y el control de las aplicaciones (en modo lista blanca) permite asegurarse de que ninguna aplicación que no esté en la lista blanca pueda ejecutarse en los equipos de reserva de los hoteles.
  • Ofrecer formación en conocimientos en seguridad a los empleados para que sepan detectar intentos de spear-phishing y la importancia de extremar la cautela cuando trabajan con el email.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Las principales tácticas para interrumpir los negocios de hosting clandestino
Actualidad
7 compartido1,243 visualizaciones
Actualidad
7 compartido1,243 visualizaciones

Las principales tácticas para interrumpir los negocios de hosting clandestino

Aina Pou Rodríguez - 9 octubre, 2020

La correlación de amenazas y la visibilidad crea medios efectivos para hacer que el cibercrimen no sea rentable Trend Micro…

¿Están empleados y empresas protegiendo sus datos correctamente en las reuniones virtuales?
Actualidad
6 compartido1,336 visualizaciones
Actualidad
6 compartido1,336 visualizaciones

¿Están empleados y empresas protegiendo sus datos correctamente en las reuniones virtuales?

Redacción - 30 abril, 2020

Se están tomando medidas para protegerse del coronavirus. Pero hay que hacer lo mismo con las herramientas de comunicación y…

Carrefour lanza el primer blockchain alimentario en España
Actualidad
25 compartido1,803 visualizaciones
Actualidad
25 compartido1,803 visualizaciones

Carrefour lanza el primer blockchain alimentario en España

Vicente Ramírez - 22 noviembre, 2018

Aplica por primera vez en nuestro país esta tecnología a un producto de su marca: pollo campero criado sin tratamientos…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.