in

L’APT RevengeHotels s’en prend aux cartes bancaires des clients de grands hôtels

Une étude par Kaspersky de la campagne malveillante RevengeHotels, visant le secteur de l’hôtellerie, confirme qu’une vingtaine d’établissements en Amérique latine, Europe et Asie ont été victimes d’attaques ciblées. Des hôtels encore plus nombreux sont potentiellement touchés à travers le monde. Les données de carte de crédit des voyageurs stockées dans leur système administratif, notamment celles reçues des agences de voyage en ligne, risquent en effet d’être volées et vendues à des criminels.

RevengeHotels est une campagne malveillante qui fait intervenir différents groupes employant des chevaux de Troie d’accès à distance (RAT) classiques pour infecter des entreprises dans le secteur de l’hôtellerie. La campagne est active depuis 2015 mais s’est intensifiée en 2019. Si au moins deux groupes, RevengeHotels et ProCC, ont été identifiés comme en faisant partie, d’autres groupes cybercriminels pourraient y être impliqués.

Le principal vecteur d’attaque de cette campagne consiste en des e-mails comportant des documents Word, Excel ou PDF infectés en pièces jointes. Certains d’entre eux exploitent la vulnérabilité CVE-2017-0199, en la chargeant au moyen de scripts VBS et PowerShell puis en installant des versions personnalisées de divers RAT et d’autres malwares spécialement adaptés, tels que ProCC, sur les machines des victimes, avec la capacité d’y exécuter des commandes afin d’établir un accès distant aux systèmes infectés.

Chaque e-mail de spear-phishing a été conçu avec une attention toute particulière des détails, leur expéditeur se faisant généralement passer pour un représentant réel d’une entreprise authentique et formulant une fausse demande de réservation pour un groupe nombreux de clients. Il est à noter que même les destinataires prudents peuvent se faire berner en ouvrant et téléchargeant les pièces jointes à ces messages car ceux-ci regorgent de détails (par exemple des copies de documents juridiques et les motifs de la réservation) pour se montrer convaincants. Le seul détail susceptible de trahir l’auteur de l’attaque serait une faute de frappe dans le nom de domaine de l’entreprise.

E-mail de phishing envoyé à un hôtel pour une demande de réservation émanant d’un soi-disant cabinet d’avocats

 

Une fois infecté, l’ordinateur destinataire devient non seulement accessible à distance au groupe cybercriminel à l’origine de l’attaque mais, comme le montrent les indices recueillis par les chercheurs de Kaspersky, cet accès distant aux systèmes de réception des hôtels et aux données qu’ils renferment est revendu sur des forums criminels sous la forme d’un abonnement. Le malware collecte des données dans le presse-papiers de ces systèmes, les files d’attente des imprimantes ou encore sur des copies d’écran (cette fonction étant déclenchée au moyen de mots-clés spécifiques en anglais ou en portugais). Du fait que le personnel des hôtels copie souvent les données de carte de crédit des clients auprès des voyagistes aux fins de facturation, ces données risquent également d’être piratées.

Les données télémétriques de Kaspersky confirment la présence de cibles en Argentine, en Bolivie, au Brésil, au Chili, au Costa Rica, en Espagne, en France, en Italie, au Mexique, au Portugal, en Thaïlande et en Turquie. Cependant, d’après des informations extraites de Bit.ly, un service d’abréviation d’url couramment employé par les auteurs d’attaques afin de propager des liens malveillants, les chercheurs de Kaspersky supposent que les utilisateurs de nombreux autres pays ont au moins accédé au lien malveillant, ce qui laisse penser que le nombre de pays comptant des victimes potentielles pourrait être plus élevé.

« Alors que les utilisateurs sont de plus en plus soucieux de la véritable protection de leurs données, les cybercriminels se tournent vers les petites entreprises, qui ne sont souvent pas très bien protégées contre les cyberattaques et concentrent quantité d’informations personnelles. Les hôtels et autres établissements ayant à traiter des données clients doivent se montrer plus prudents et se doter de solutions de sécurité professionnelles pour éviter des fuites risquant de porter préjudice non seulement à leurs clients mais aussi à leur réputation », commente Dmitry Bestuzhev, responsable de l’équipe GReAT (Global Research & Analysis Team) de Kaspersky pour l’Amérique latine.

Pour préserver leur sécurité, nous recommandons aux voyageurs les précautions suivantes :

  • Utilisez une carte de paiement virtuelle pour effectuer des réservations auprès d’une agence en ligne, ce type de carte expirant normalement après un seul paiement.
  • Lorsque vous réglez une réservation ou bien votre note à la réception d’un hôtel, servez-vous d’un porte-monnaie virtuel, tel que Apple Pay ou Google Pay, ou encore une carte de crédit annexe dotée d’un plafond limité de paiement.

Nous conseillons également aux exploitants et dirigeants d’établissements hôteliers de prendre les mesures suivantes afin de sécuriser les données de leurs clients :

  • Procédez à une évaluation des risques du réseau existant et conformez-vous aux réglementations relatives à la protection des données clients.
  • Utilisez une solution de sécurité fiable offrant des fonctions de protection web et de contrôle des applications, telle que Kaspersky Endpoint Security for Business. Les premières aident à bloquer l’accès aux sites de phishing ou autres sites malveillants, tandis que les secondes font en sorte que seules les applications inscrites sur liste blanche puissent s’exécuter sur les systèmes informatiques de la réception des hôtels.
  • Organisez une sensibilisation à la sécurité pour apprendre à votre personnel à repérer les tentatives de spear-phishing et souligner l’importance de rester vigilant dans le traitement des e-mails reçus.

 

Le rapport complet de l’étude RevengeHotels: cybercrime targeting hotel desks worldwide, est disponible sur Securelist : https://securelist.com/revengehotels/95229/

 

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.