IHG es una firma británica que opera 6000 hoteles en todo el mundo, incluidos los de marca Holiday Inn, Crowne Plaza y Regent. BBC News pudo comunicarse con sus atacantes a través de Telegram. Conocidos como TeaPea, dijeron ser una pareja de hackers de Vietnam que había hackeado al grupo “por diversión”. Sin embargo, todo indica que actuaron por venganza, eliminando grandes cantidades de datos tras un ataque de ransomware frustrado.
Los atacantes obtuvieron acceso a la red interna de IHG mediante ingeniería social, engañando a un empleado para que descargara un malware de un archivo adjunto de correo electrónico. Habían planeado un ransomware (secuestrar los datos de IHG con cifrado para pedir un rescate), pero la empresa logró aislar sus servidores antes de que pudieran implementarlo.
En su lugar, los hackers hicieron un wiper attack, borrando de forma irreversible una gran cantidad de datos de los servidores de IHG.
Para acceder a las partes más sensibles de la red, los hackers tuvieron que saltarse un aviso de seguridad que se envía a los dispositivos de los trabajadores como parte de un sistema de autenticación de doble factor. Luego encontraron las credenciales en la bóveda de contraseñas interna de la empresa.
“El nombre de usuario y la contraseña de la bóveda estaban disponibles para todos los empleados, por lo que podían verlos 200.000 personas”, dijeron a la BBC. Para colmo, la contraseña era extremadamente común: Qwerty1234.
Según unas capturas confirmadas por BBC News, los atacantes obtuvieron acceso a correos electrónicos internos de Outlook, chats de Microsoft Teams y directorios de servidores de la empresa. Los atacantes no habrían robado datos de los clientes, pero sí datos corporativos, como los correos internos.
En cuanto a los sistemas de clientes, IHG dice que están volviendo a la normalidad, pero el servicio aún puede fallar intermitentemente.