Заработать на атаке злоумышленники не смогли, но успели удалить огромный объем данных.
Согласно заявлению компании IHG, владеющей более чем 6 000 отелей под брендами Regent, Holiday Inn и Crowne Plaza, ее система была взломана днем 5 сентября. Потом, на протяжении 24 часов IHG ничего не сообщала об инциденте, оправдывая сбои при бронировании и регистрации “техническим обслуживанием”. Публично об инциденте стало известно 6 сентября, когда компания проинформировала инвесторов о случившемся.
Вину за произошедшее на себя взяли хакеры под ником TeaPea, представившиеся вьетнамской семейной парой. Киберпреступники связались с BBC через Telegram и предоставили скриншоты, на которых видно, что им удалось получить доступ к корпоративной почте Outlook, командам Microsoft Teams и каталогам сервера компании. IHG подтвердила правдивость этих скриншотов.
Атака проходила следующим образом:
- TeaPea обманом заставили одного из сотрудников загрузить вредоносное ПО из отправленного ими письма;
- С помощью вредоноса злоумышленники получили доступ к внутренней IT-сети IHG, попутно обойдя двухфакторную аутентификацию;
- Хакеры узнали информацию для входа во внутреннее хранилище паролей компании и получили доступ к самым защищенным частям сети IHG;
- После этого была произведена неудачная попытка развернуть вымогательское ПО, в результате чего киберпреступники разозлились и просто использовали вайпер, уничтожив большой объем информации.
Хакеры заявили, что никак не связаны с нарушениями работы сервисов IHG, а их атака не нанесет большого вреда компании. Кроме того, им не удалось украсть личную информацию клиентов – в руки злоумышленников попали только некоторые бизнес-данные компании.
Самым интересным в этой истории является то, что паролем от внутреннего хранилища паролей компании была крайне слабая комбинация – Qwerty1234. Однако представитель IHG отрицает это и говорит, что информация в хранилище паролей была надежно защищена.