Ricerca Bitdefender focalizzata su una campagna di hacker che ha come obiettivo il settore alberghiero: con il motore di prenotazione IRM-NG, estorce dati di carte di credito, password, informazioni. Il motore di prenotazione IRM-NG è stato sviluppato da Resort Data Processing (RDP). Nel settore dell’accoglienza, il software per la gestione degli affitti turistici è diventato un must per hotel, resort e piccole imprese. Perché in grado di semplificare prenotazioni, interazioni con gli ospiti e gestione della proprietà. Sebbene questo software possa sembrare incentrato sulle prenotazioni, contiene dati preziosi: informazioni sulle carte di credito, preferenze degli ospiti, comunicazioni.
L’obiettivo degli hacker
Questi dati sono un obiettivo primario per gli hacker in cerca di guadagni finanziari o di accessi non autorizzati. Per gli hacker particolarmente interessanti sono i dati delle carte di credito che rappresentano infatti il 41% delle violazioni nel settore dell’accoglienza (fonte: report Verizon Data Breach Investigations). La combinazione del volume notevole di transazioni del settore dell’accoglienza e l’integrazione dei gateway di pagamento ne fanno un obiettivo redditizio.
Gli hacker e il settore alberghiero
In questa campagna attiva individuata da Bitdefender, gli hacker utilizzano le vulnerabilità del motore di prenotazione IRM-NG in combinazione con backdoor e tecniche per compromettere la convalida delle password lato client (non sui server RDP). Il motore IRM-NG consente ai dipendenti di RDP di accedere ai propri clienti utilizzando un account particolare di amministrazione, con la convalida della password effettuata lato client e non sui server RDP. L’algoritmo di convalida della password si trova nella Dynamic Link Library (DLL) ed è debole. Se la DLL viene invertita, gli hacker possono generare la password giornaliera e autenticarsi con successo a qualsiasi resort/hotel e a diverse altre funzioni dell’applicazione. Tra queste anche la gestione dei contenuti e il debug (che consente di leggere i log).
Un sistema di difesa approfondita
Bitdefender ha tentato di contattare RDP più volte, ma non ha ottenuto risposta. La difesa contro gli attacchi moderni, come in questo caso, dovrebbe incorporare un’architettura di difesa approfondita. Dovrebbe infatti includere la prevenzione, il rilevamento e la risposta alle minacce attraverso soluzioni come XDR/EDR o un servizio di sicurezza gestito come MDR. Bitdefender invita le aziende del settore alberghiero (in particolare quelle che utilizzano il motore di prenotazione IRM-NG) a restare in allerta e ad applicare i suggerimenti che si trovano nella ricerca.