Kassasystemen in ruim duizend IHG-hotels getroffen door malware

creditcard2

Ruim duizend hotels van het Britse InterContinental Hotels Group (IHG) zijn in december 2016 getroffen door malware. De kwaadaardige software wist zich te nestelen in kassasystemen en zocht gericht naar creditcard- en betaalkaartgegevens. Alle getroffen hotels zijn gevestigd in de Verenigde Staten (VS).

Dit meldt beveiligingsonderzoeker Brian Krebs. IHG is een hotelketen die onder verschillende merknamen zoals Holiday Inn, Holiday Inn Express, InterContinental, Kimpton Hotels en Crowne Plaza hotelkamer aanbiedt. In totaal beschikt de keten over 5.000 hotels in bijna 100 verschillende landen.

Grootschalige fraude

Al langer is bekend dat IHG getroffen is door malware die zich op kassasystemen van de hotelketen wist te nestelen. De malware zou tussen 29 september 2016 en 29 december 2016 actief zijn geweest op de systemen van IHG. Krebs meldde in eerste instantie dat fraude experts van meerdere banken een patroon zagen die wees op grootschalige fraude bij ongeveer 5.000 hotels van IHG.

De hotelketen erkende de malwareuitbraak in februari, maar gaf toen aan dat de uitbraak zich beperkte tot ongeveer een dozijn hotels. IHG heeft nu echter een tool online gepubliceerd waarmee klanten kunnen controleren of hotels die zij hebben bezocht door de malware zijn getroffen. Deze tool laat volgens Krebs zien dat in ieder geval 1.000 hotels zijn getroffen door de malware.

Extern forensisch team

Ook wijst Krebs erop dat IHG franchiseondernemers gratis ondersteuning van een extern forensische team heeft aangeboden, dat zoekt naar aanwijzigingen van een malwarebesmetting. Niet iedere ondernemer zou echter staan te springen op dit aanbod in te gaan, waardoor niet alle hotels van IHG zijn onderzocht. Het is dus goed mogelijk dat het aantal besmette hotels in de toekomst verder gaat oplopen.

Meer over
Lees ook
Van social engineering tot DMARC-misbruik: TA427’s informatieverzamelkunst

Van social engineering tot DMARC-misbruik: TA427’s informatieverzamelkunst

Onderzoekers van Proofpoint volgen verschillende dreigingsactoren, waaronder TA427. Deze dreigingsactor is ook bekend als Emerald Sleet, APT43, THALLIUM of Kimsuky en wordt gelieerd aan Noord-Korea.

Proofpoint: TA547 richt zich op Duitse bedrijven met Rhadamanthys Stealer

Proofpoint: TA547 richt zich op Duitse bedrijven met Rhadamanthys Stealer

Onderzoekers van Proofpoint identificeren een nieuwe e-mailcampagne van TA547. Deze richt zich op Duitse bedrijven en heeft als doel het afleveren van Rhadamanthys malware

Dreigingsactoren leveren malware via YouTube

Dreigingsactoren leveren malware via YouTube

Proofpoint  Emerging Threats ziet dat de aflevering van malware voor het stelen van informatie via YouTube plaatsvindt. Voorbeelden hiervan zijn Vidar, StealC en Lumma Stealer. De aflevering vindt plaats via illegale software en cracks van videogames