Хакеры рассказали Би-би-си, что провели разрушительную кибератаку на Intercontinental Hotels Group (IHG), владельца отеля Holiday Inn, «ради развлечения».
Называя себя парой из Вьетнама, они говорят, что сначала попытались атаковать вымогателей, а затем удалили большие объемы данных, когда им помешали.
Они получили доступ к базам данных фирмы FTSE 100 благодаря легкому и слабому паролю Qwerty1234.
Эксперт говорит, что дело подчеркивает мстительную сторону хакеров-преступников.
Британская компания IHG управляет 6000 отелей по всему миру, включая бренды Holiday Inn, Crowne Plaza и Regent.
В понедельник на прошлой неделе клиенты сообщили о широко распространенных проблемах с бронированием и регистрацией.
В течение 24 часов IHG отвечала на жалобы в социальных сетях, заявив, что компания «проводит техническое обслуживание системы».
Затем во вторник днем он сообщил инвесторам, что его взломали.
«Каналы бронирования и другие приложения были значительно нарушены со вчерашнего дня», — говорится в официальном уведомлении, поданном на Лондонскую фондовую биржу.
Хакеры, назвавшиеся TeaPea, связались с BBC через зашифрованное приложение для обмена сообщениями Telegram, предоставив скриншоты в качестве доказательства того, что они осуществили взлом.
Изображения, которые, как подтвердила IHG, являются подлинными, показывают, что они получили доступ к внутренней электронной почте компании Outlook, Microsoft Teachats и каталогам сервера.
«Наша атака изначально планировалась как программа-вымогатель, но ИТ-команда компании продолжала изолировать серверы до того, как у нас появилась возможность ее развернуть, поэтому мы подумали, что у нас будет что-то забавное [так в оригинале]. Вместо этого мы провели атаку с очистителем», — сказал один из хакеров. сказал.
Wiper-атака — это форма кибератаки, которая необратимо уничтожает данные, документы и файлы.
Специалист по кибербезопасности Рик Фергюсон, вице-президент по безопасности компании Forescout, сказал, что этот инцидент является поучительным примером, поскольку, несмотря на то, что ИТ-команда компании сначала нашла способ отбиться от них, хакеры все равно смогли найти способ нанести ущерб.
«Смена тактики хакеров проистекает из мстительного разочарования», — сказал он. «Они не смогли заработать денег, поэтому они вышли из себя, и это абсолютно точно показывает, что мы не говорим о «профессиональных» киберпреступниках».
Компания IHG сообщает, что работа систем, обслуживающих клиентов, возобновляется, но возможны перебои в работе.
Хакеры не испытывают угрызений совести по поводу того, что они нарушили работу компании и ее клиентов.
«На самом деле мы не чувствуем себя виноватыми. Мы предпочитаем иметь легальную работу здесь, во Вьетнаме, но средняя заработная плата составляет 300 долларов в месяц. Я уверен, что наш взлом не сильно повредит компании».
Хакеры говорят, что данные клиентов не были украдены, но у них есть некоторые корпоративные данные, в том числе записи электронной почты.
TeaPea говорят, что они получили доступ к внутренней ИТ-сети IHG, обманом заставив сотрудника загрузить вредоносное программное обеспечение через заминированное вложение электронной почты.
Им также пришлось обойти дополнительное сообщение с запросом безопасности, отправляемое на устройства работника в рамках системы двухфакторной аутентификации.
Затем преступники говорят, что они получили доступ к наиболее важным частям компьютерной системы IHG после того, как нашли данные для входа во внутреннее хранилище паролей компании.
«Имя пользователя и пароль к хранилищу были доступны всем сотрудникам, поэтому их могли видеть 200 000 сотрудников. И пароль был чрезвычайно слабым», — рассказали они Би-би-си.
Удивительно, но пароль был Qwerty1234, который регулярно появляется в списках наиболее часто используемых паролей по всему миру.
«Конфиденциальные данные должны быть доступны только тем сотрудникам, которым нужен доступ к этим данным для выполнения их работы, и они должны иметь минимальный уровень доступа [необходимый] для использования этих данных», — сказал Фергюсон, увидев скриншоты.
«Даже очень сложный пароль так же ненадежен, как и простой, если его оставить незащищенным».
Представитель IHG оспорила, что данные хранилища паролей не были безопасными, заявив, что злоумышленнику пришлось обойти «многоуровневую защиту», но не сообщила подробностей о дополнительной безопасности.
«IHG применяет стратегию глубокоэшелонированной защиты для обеспечения информационной безопасности, в которой используются многие современные решения в области безопасности», — добавила она.