Una campaña de malware está atacando las redes Wi-Fi de los hoteles para obtener inforación de los alojados así como datos corporativos sobre los hoteles. El equipo de investigación de la empresa FireEye apunta al grupo de ciberdelincuentes ruso APT28 como artífices del ciberataque ya que han econtrado el malware Gamefish, usado tradicionalmente por APT28, en archivos maliciosos que han infectado las redes de los hoteles.

El modus operandi del ataque comienza con el envío de un email del tipo phishing a un empleado del hotel. Este correo cuenta con un adjunto que se asemeja a un formulario básico de recogida de datos llamado “Hotel_Reservation_Form.doc». En realidad, este archivo abre la puerta a la descarga del software malicioso GameFish.

Las redes Wi-Fi de acceso público representan una amenaza significativas y su uso debe de ser evitado en la medida de lo posible

Una vez que APT28 consigue entrar en la red de uno de los hoteles, el grupo busca los dispositivos que controlan la red de Wi-Fi interna así como la utilizada por los empleados del hotel. Los ciberdelincuentes consiguen, a través del empleo de la herramienta Responder, que los  ordenadores infectados  envíen sus usuarios y contraseñas a los hackers, información que a su vez es empleada por APT28 para aumentar los derechos de administración de los hackers sobre las redes.

FireEye recomienda a los viajeros «tomar precauciones extra para proteger sus sistemas e información. Las redes Wi-Fi de acceso público representan una amenaza significativas y su uso debe de ser evitado en la medida de lo posible«.

APT26 también es conocido por los psudónimos Pawn Storm, Fancy Bear, Sofacy, Sednit y Strontium.  La organización criminal es responsable de múltiples ataques de alto nivel, incluyendo supuestamente la campaña lanzada en 2016 para manipular las elecciones presidenciales en Estados Unidos.

Además de Gamefish, la banda organizada ha incorporado en el ataque a las redes de los hotreles nuevas técnicas incluyendo el uso de EthernalBlue SMB, la vulnerabilidad asociada a WannaCry, y el ransomworm NotPetya, utilizado recientemente en Ucrania por un delincuente para que las empresas evitaran pagar sus impuestos al gobierno.

Para saber más:

• WannaCry no es el único: el ransomware UIWIX y el malware para la criptomoneda Monero detectados por Trend Micro