Luego de que se confirmara el ciberataque de un grupo de piratas informáticos contra el grupo propietario de Holiday Inn, Intercontinental Hotels Group (IHG), donde se reportaron problemas en el sistema de reservas y check in, un nuevo reporte ha detallado la forma en que se ha logrado vulnerar el sistema.
IHG informó tras el ataque, que se trató efectivamente de un acceso no autorizado a sus sistemas, pero luego de que los piratas informáticos contactaran a la BBC, se reveló el método utilizado, que involucró desde ransomware, eliminación de datos, y hasta el uso de una contraseña "débil y fácil" de encontrar: Qwerty1234.
El medio detalla que los piratas, conocidos como TeaPea, una pareja de Vietnam, los contactó por Telegram para revelarles la forma en que habían logrado vulnerar el sistema.
En su motivación, la pareja detalló que habían realizado el ataque "por diversión", donde al verse frustrados de las acciones defensivas de la compañía, terminaron eliminando bases de datos.
El proceso para vulnerar a la empresa
De acuerdo con TeaPea, obtuvieron acceso a la red interna de TI de IHG tras lograr engañar a un empleado para que descargara un software malicioso a través de un archivo adjunto de correo electrónico.
Aunque su intención inicial era realizar un ataque de ransomware, secuestrando los datos de IHG para solicitar un rescate, los equipos de TI de la compañía lograron aislar sus servidores antes de que se pudiera implementar.
Como medida de "venganza" los atacantes decidieron hacer un "wiper attack", es decir, realizaron un borrado irreversible de una gran cantidad de datos de los servidores.
Los atacantes también obtuvieron acceso a las partes más sensibles del sistema informático, una vez que encontraron los datos de inicio de sesión de la bóveda de contraseñas internas de la empresa, donde el nombre de usuario y la clave (extremadamente débil, detallaron) se encontraban disponibles para los aproximadamente 200,000 empleados.
La clave en cuestión, Qwerty1234, una de las que aparece en las listas de contraseñas más utilizadas a lo largo de todo el mundo.
El medio detalla que en las capturas que les dieron los atacantes se pudo certificar la existencia de correos internos de Outlook, chats de Microsoft Teams, así como directorios de servidores de la compañía, pero también señalaron que no robaron los datos de los clientes, sino únicamente información corporativa y correos internos.