Detectada una campaña de ciberataques al sector hostelero
- Actualidad
Bitdefender acaba de publicar una investigación sobre una campaña cibercriminal activa dirigida al sector hotelero, que utiliza un motor de reservas vulnerable llamado IRM-NG desarrollado por Resort Data Processing (RDP) con el fin de robar tarjetas de crédito, contraseñas e información personal.
El ataque consta de múltiples módulos maliciosos diseñados para integrarse con el software legítimo y operar de manera extremadamente sigilosa. Además, el malware personalizado y otras herramientas descubiertas demuestran el gran conocimiento de los atacantes sobre el funcionamiento interno de IRM-NG, lo que indica que probablemente no se trate de la primera operación que lanzan contra este software.
Los actores de amenazas están utilizando vulnerabilidades en el motor de reservas IRM-NG en combinación con puertas traseras y técnicas para comprometer la validación de contraseñas en el lado del cliente (no en los servidores RDP). El algoritmo de validación de la contraseña se encuentra en la Biblioteca de vínculos dinámicos (DLL) y es débil. Si se invierte la DLL, los atacantes pueden generar la contraseña diaria y autenticarse con éxito en cualquier resort/hotel, además de poner en marcha otras funciones de la aplicación, incluida la gestión de contenidos y depuración (lo que permite leer los registros).
A la vista de estos datos, la firma de ciberseguridad insta a las organizaciones del sector hotelero, especialmente aquellas que utilizan el motor de reservas IRM-NG, a estar en alerta máxima y aplicar los IOC (indicadores de compromiso). La defensa contra ataques como este debería incorporar una arquitectura de defensa en profundidad e incluir prevención, detección y respuesta a amenazas a través de soluciones como XDR/EDR o servicios de seguridad gestionada como MDR.
