Un grupo de hackers acusado de entrometerse en la carrera hacia las elecciones presidenciales de Estados Unidos está aprovechando el exploit de Windows que hizo WannaCry ransomware y Petya tan poderosos – y lo utilizan para realizar ataques cibernéticos contra hoteles en Europa.
Los investigadores de FireEye han atribuido una campaña para robar las credenciales de los huéspedes que utilizan redes Wi-Fi en hoteles en Europa a APT28, también conocido como Fancy Bear, una organización de hacking que muchas empresas de seguridad han vinculado a la inteligencia militar de Rusia.
El ataque explora EternalBlue, una vulnerabilidad de seguridad que aprovecha una versión del protocolo de red de Server Message Block (SMB) de Windows para extenderse lateralmente a través de las redes.
La hazaña, una de las muchas supuestamente conocidas por los servicios de inteligencia estadounidenses y utilizadas por la NSA para su vigilancia, fue filtrada y publicada por el grupo de hackers de Shadow Brokers.
Con el código disponible para que cualquiera lo vea, era quizás sólo cuestión de tiempo que otros buscaran aprovecharlo, como lo demuestra el ransomware WannaCry y el posterior brote de Petya.
Una serie de grupos criminales cibernéticos están tratando de usar EternalBlue para impulsar su propio malware, pero es la primera vez que APT28 se ha visto tratando de hacerlo.
“Esta es la primera vez que vemos a APT28 incorporar esta hazaña en sus intrusiones, y hasta donde creemos, la variante utilizada se basó en la versión pública”, dijo a ZDNet Cristiana Brafman Kittner, analista senior de FireEye.
El proceso de ataque comienza con una campaña de phishing, que se dirige a varias empresas de la industria hostelera en al menos siete países europeos y otro de Oriente Medio, que reciben correos electrónicos diseñados para comprometer las redes.
