España, uno de los países afectados por la campaña RevengeHotel

Como consecuencia, los datos de las tarjetas de crédito de los viajeros almacenados en los sistemas de administración de los hoteles, incluidos los procedentes de las agencias de viaje online, corren el riesgo de ser sustraídos y vendidos a criminales de todo el mundo.

RevengeHotelses una campaña en la que participan varios grupos con la intención de infectar a empresas hoteleras mediante la utilización de Troyanos de Acceso Remoto (RATs). La campaña ha estado activa desde 2015 y ha aumentado de forma significativa su presencia en 2019. Al menos dos grupos, RevengeHotels y ProCC, han participado en la campaña; y es probable que también estén involucrados otros grupos cibercriminales.

El principal vector de ataque en esta campaña son emails con archivos adjuntos maliciosos en formato Word, Excel o PDF. Algunos de ellos explotan la vulnerabilidad CVE-2017-0199 mediante scripts VBS y PowerShell, y posteriormente instalando versiones personalizadas de variosRATs y otros archivos de malware personalizados, tales como ProCC, en el equipo de las víctimas. De esta forma pueden ejecutar comandos y configurar el acceso remoto a los sistemas infectados.

Cada email despear-phishing utilizado ha sido diseñado con gran atención al detalle y habitualmente se hace pasar por remitentes reales de organizaciones legítimas que pedían efectuar reservas para grandes grupos de turistas. Conviene tener en cuenta que incluso los usuarios más avezados podían caer víctima del engaño y abrir y descargarlos archivos adjuntos debido al gran nivel de detalle (por ejemplo, copias de documentos legales o información sobre los motivos por los que pedían hacer una reserva en el hotel), por lo que los mensajes resultaban convincentes. El único detalle que podía servir para comprobar que se trataba de un ataque era un pequeño cambio ortográfico en el nombre del dominio de la organización del supuesto remitente.

Email de phishing enviado a un hotel que intentaba hacerse pasar por una petición de un bufete de abogados

Una vez infectado el equipo, el grupo de cibercriminales podía acceder al mismo de forma remota o incluso, según los investigadores de Kaspersky, vender el acceso remoto a las recepciones y a los datos que contienen esos sistemas en foros criminales a través de una suscripción. El malware recogía datos del portapapeles de las recepciones, de la cola de impresión de las impresoras o capturas de pantalla. En este último caso, el malware detonaba la función de captura de pantalla mediante la utilización de determinadas palabras en inglés o en portugués. Los datos también podían verse comprometidos porque el personal de los hoteles muchas veces copiaba los datos de tarjeta de crédito de sus clientes de las bases de datos de las agencias de viaje online para poder efectuar el cargo.

Los datos de telemetría de Kaspersky confirman que han sido objetivo de estos ataques hoteles en España, Argentina, Bolivia, Brasil, Chile, Costa Rica, Francia, Italia, México, Portugal, Tailandia y Turquía. Por otra parte, y según los datos extraídos de Bit.ly, un servicio para acortar los enlaces de páginas web que los atacantes utilizaban para diseminar enlaces maliciosos, los investigadores de Kaspersky han llegado a la conclusión de que usuarios de muchos otros países podrían haber accedido al enlace malicioso, un factor que parece indicar que el número de países con víctimas potenciales podría ser mayor.

“A medida que aumenta la precaución de los usuarios por la privacidad de sus datos, los cibercriminales recurren cada vez más a pequeñas empresas, que a menudo no cuentan con un alto nivel de protección frente a los ciberataques y disponen de un gran número de datos personales. Por consiguiente, los hoteleros y otras pequeñas empresas que gestionan los datos personales de sus clientes deben extremar la cautela y adoptar soluciones de seguridad profesionales para evitar filtraciones de datos que pueden no sólo afectar a los clientes sino también dañar la reputación de los hoteles”, ha comentado Dmitry Bestuzhev, responsable del equipo global de análisis e investigación para LatAm.

Para mantenerse seguros se recomienda a los viajeros que:

• Utilicen una tarjeta de pagos virtual para reservas efectuadas a través de agencias de viaje online teniendo en cuenta que estas tarjetas normalmente caducan después de un único pago.
• Recurran a un monedero electrónico como Apple Pay o Google Payo una tarjeta de crédito secundaria con un saldo limitado a la hora de efectuar una reserva o pagar la factura en la recepción del hotel.

El sector hotelero también debe tomar una serie de medidas para proteger los datos de sus clientes, entre ellas:

• Realizar una auditoría de riesgos de su red e implementar regulaciones en materia de gestión de datos de los clientes
• Utilizar una solución de seguridad fiable con protección web y funcionalidades de control de aplicaciones, tales como Kaspersky Endpoint Security for Business. La protección web ayuda a bloquear el acceso a páginas maliciosas o de phishing y el control de las aplicaciones (en modo lista blanca) permite asegurarse de que ninguna aplicación que no esté en la lista blanca pueda ejecutarse en los equipos de reserva de los hoteles.
• Ofrecer formación enconocimientos en seguridad a los empleados para que sepan detectar intentos de spear-phishing y la importancia de extremar la cautela cuando trabajan con el email.