Los hackers le dijeron a la BBC que llevaron a cabo un ciberataque destructivo contra el propietario de Holiday Inn, Intercontinental Hotels Group (IHG), “por diversión”.
Al describirse a sí mismos como una pareja de Vietnam, dicen que primero intentaron un ataque de ransomware y luego eliminaron grandes cantidades de datos cuando fueron frustrados.
Accedieron a las bases de datos de la firma FTSE 100 gracias a una contraseña débil y fácil de encontrar, Qwerty1234.
Un experto dice que el caso destaca el lado vengativo de los hackers.
IHG, con sede en el Reino Unido, opera 6000 hoteles en todo el mundo, incluidas las marcas Holiday Inn, Crowne Plaza y Regent.
El lunes de la semana pasada, los clientes informaron problemas generalizados con la reserva y el check-in.
Durante 24 horas, IHG respondió a las quejas en las redes sociales diciendo que la empresa estaba “en mantenimiento del sistema”.
Luego, el martes por la tarde , les dijo a los inversores que había sido hackeado.
“Los canales de reserva y otras aplicaciones se han interrumpido significativamente desde ayer”, dijo en un aviso oficial presentado en la Bolsa de Valores de Londres.
Los hackers, que se hacían llamar TeaPea, se pusieron en contacto con la BBC en la aplicación de mensajería cifrada Telegram y proporcionaron capturas de pantalla como prueba de que habían llevado a cabo el ataque.
Las imágenes, que IHG ha confirmado que son genuinas, muestran que obtuvieron acceso a los correos electrónicos internos de Outlook, chats de Microsoft Teams y directorios de servidores de la empresa.
“Originalmente, nuestro ataque se planeó para ser un ransomware, pero el equipo de TI de la empresa siguió aislando los servidores antes de que tuviéramos la oportunidad de implementarlo, por lo que pensamos en tener algo divertido. En su lugar, hicimos un ataque de limpieza”, uno de los hackers menciono.
Un Wiper Attack es una forma de ciberataque que destruye de forma irreversible datos, documentos y archivos.
El especialista en seguridad cibernética Rik Ferguson, vicepresidente de seguridad de Forescout, dijo que el incidente era una advertencia ya que aunque el equipo de TI de la empresa inicialmente encontró una manera de defenderse, los hackers aún pudieron encontrar una manera de infligir daño.
“El cambio de táctica de los hackers parece nacer de una frustración vengativa”, dijo. “No podían ganar dinero, así que arremetieron, y eso delata absolutamente el hecho de que no estamos hablando de ciberdelincuentes ‘profesionales’ aquí”.
IHG dice que los sistemas orientados al cliente están volviendo a la normalidad, pero que los servicios pueden seguir siendo intermitentes.
Los hackers no muestran remordimiento por la interrupción que han causado a la empresa y sus clientes.
“En realidad, no nos sentimos culpables. Preferimos tener un trabajo legal aquí en Vietnam, pero el salario promedio es de $300 por mes. Estoy seguro de que nuestro truco no dañará mucho a la empresa”.
Los hackers dicen que no se robaron datos de clientes, pero sí tienen algunos datos corporativos, incluidos registros de correo electrónico.
TeaPea dice que obtuvieron acceso a la red interna de TI de IHG al engañar a un empleado para que descargara un software malicioso a través de un archivo adjunto de correo electrónico con una trampa explosiva.
También tenían que omitir un mensaje de aviso de seguridad adicional enviado a los dispositivos de los trabajadores como parte de un sistema de autenticación de dos factores.
Luego, los delincuentes dicen que accedieron a las partes más sensibles del sistema informático de IHG después de encontrar los datos de inicio de sesión de la bóveda de contraseñas interna de la empresa.
“El nombre de usuario y la contraseña de la bóveda estaban disponibles para todos los empleados, por lo que podían verlo 200.000 empleados. Y la contraseña era extremadamente débil”, le dijeron a la BBC.
Sorprendentemente, la contraseña era Qwerty1234, que aparece regularmente en las listas de contraseñas más utilizadas en todo el mundo.
“Los datos confidenciales solo deben estar disponibles para los empleados que necesitan acceder a esos datos para hacer su trabajo, y deben tener el nivel mínimo de acceso (necesario) para usar esos datos”, dijo Ferguson, después de ver las capturas de pantalla.
“Incluso una contraseña muy compleja es tan insegura como una simple si se deja expuesta”.
Una portavoz de IHG cuestionó que los detalles de la bóveda de contraseñas no fueran seguros y dijo que el atacante tuvo que evadir “múltiples capas de seguridad”, pero no dio detalles sobre la seguridad adicional.
“IHG emplea una estrategia de defensa en profundidad para la seguridad de la información que aprovecha muchas soluciones de seguridad modernas”, agregó.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.