Ransomware-Attacke schlug fehl

Frustrierte Hacker löschen Daten von Hotel-Gigant IHG

Aufgrund eines Cyberangriffs, den vietnamesische Hacker „aus Spaß“ starteten, kommt es bei der InterContinental Hotels Group nach wie vor zu Störungen.
Von 
CSO | 19. September 2022 13:44 Uhr  Update
Eine der Marken der InterContinental Hotels Group ist das HolidayInn. Weltweit haben die Hotels aufgrund der Cyberattacke Probleme mit den Buchungssystemen.
Eine der Marken der InterContinental Hotels Group ist das HolidayInn. Weltweit haben die Hotels aufgrund der Cyberattacke Probleme mit den Buchungssystemen.
Foto: JHVEPhoto - shutterstock.com

Mit 17 Hotelmarken und fast 6.000 Hotels auf der ganzen Welt, gehört die InterContinental Hotels Group (IHG) zu den zehn größten Hotelgruppen weltweit. Am 6. September teilte die Hotelgruppe mit, dass Unbefugte sich Zugriff auf Teile der Technologiesysteme verschafft haben. Wie BBC berichtet, hatten die Hacker, die sich als vietnamesisches Paar beschrieben und sich "TeaPea" nennen, vorgehabt, Daten der Gruppe mit Ransomware zu verschlüsseln. Sie kontaktierten das Nachrichtenportal über Telegram und schickten Screenshots als Beweis dafür, dass sie tatsächlich für den Cyberangriff verantwortlich waren.

Wiper statt Ransomware

Die Hotelgruppe bestätigte gegenüber BBC, dass die Screenshots echt seien. Die Bilder zeigten, dass TeaPea Zugriff auf interne E-Mails, Chats auf Microsoft Teams und Serververzeichnisse von IHG hatte. Wie das Paar gegenüber BBC zugab, wollte es "aus Spaß" die Gruppe erpressen. Da das IT-Team von IHG es jedoch immer wieder geschafft hätte, die Ransomware-Attacken zu stoppen, indem es die betroffenen Server isolierte, wechselten die Angreifer ihre Strategie. Mithilfe eines sogenannten Wiper-Angriffs löschten sie unwiderruflich einige Dateien und Dokumente.

"Die Änderung der Taktik der Hacker scheint aus rachsüchtiger Frustration geboren zu sein", kommentiert Sicherheitsspezialist Rik Ferguson, Vice President Security bei ForeScout, den Vorfall. "Sie konnten kein Geld verdienen also schlugen sie zu. Und das verrät, dass wir hier nicht über professionelle Cyberkriminelle sprechen."

"Wir fühlen uns nicht wirklich schuldig. Wir ziehen es vor, hier in Vietnam einen legalen Job zu haben, aber der Lohn liegt bei durchschnittlich 300 Dollar pro Monat. Ich bin sicher, dass unser Hack dem Unternehmen keinen großen Schaden zufügen wird", zitiert BBC einen der Hacker.

Zugriff über gestohlenes Passwort

Kundendaten habe das kriminelle Paar zwar nicht gestohlen, allerdings verschafften sie sich mittels Social Engineering Zugriff auf das interne IHG-Netzwerk. Dafür hätten sie einen Mitarbeiter dazu gebracht, auf einen böswilligen E-Mail-Anhang zu klicken und mussten dann eine Multi-Faktor-Authentifizierung umgehen. In sensiblen Teilen des Computernetzwerks hätten sie die Anmeldedaten für den internen Passwort-Tresor des Unternehmens gefunden. "Der Benutzername und das Passwort für den Tresor waren für alle Mitarbeiter verfügbar, so dass ihn 200.000 Mitarbeiter einsehen konnten. Und das Passwort war extrem schwach", sagten die Hacker gegenüber BBC. Das Passwort sei "Qwerty1234" gewesen, welches auf der Liste der weltweit am häufigsten verwendeten Passwörter zu finden ist.

Eine IHG-Sprecherin bestritt, dass die Details des Passwort-Tresors unsicher seien und sagte, dass die Angreifer "mehrere Sicherheitsebenen" umgehen mussten. "IHG wendet eine Defense-in-Depth-Strategie für die Informationssicherheit an, die viele moderne Sicherheitslösungen beinhaltet", sagte sie.

Eigenen Angaben zufolge fahre IHG die kundenorientierten IT-Systeme wieder in den Normalbetrieb zurück. Es könne jedoch sein, dass es bei einigen Diensten nach wie vor zu Störungen komme.

Eine Notiz auf den Webseiten der InterContinental Hotels Group informiert die Kunden, dass es bei der Buchung von Zimmer und der Bearbeitung von Reservierungen zu Problemen kommen kann.
Eine Notiz auf den Webseiten der InterContinental Hotels Group informiert die Kunden, dass es bei der Buchung von Zimmer und der Bearbeitung von Reservierungen zu Problemen kommen kann.

Lesetipp: Hotelkette Marriott erneut gehackt

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.