Rett etter hendelsen stengte selskapet bedriftens datamaskiner, innsjekkingsskranker og maskiner som musikksystemer og frakoblede datamaskiner fra Internett, sier Kari Anna Fiskvik, visepresident for teknologi i Nordic Choice.
Hotellpersonalet registrerte innsjekkingsdetaljer med penn og papir og eskorterte gjester til rommene deres fordi de digitale nøklene ikke fungerte, sa Fiskvik. Akkurat da hackerne slo til, vendte hotellbransjen tilbake til vekst etter langvarige nedstengninger knyttet til pandemien.
«Vi var et godt mål fordi vi allerede var slitne,» sa han.
Mer enn fem uker etter hackerangrepet fortsetter problemene i maskiner som leverer oppvarming, musikk og andre tjenester, sa han.
Nordic Choice, en uavhengig franchisegiver fra Rockville, basert i Md. Choice Hotels International Inc. driver hoteller i Norge, Sverige, Danmark, Finland og Litauen. En talsperson for Choice Hotels International sa at det ikke var noen indikasjoner på at angrepet påvirket teknologisystemene.
En undersøkelse fant at hackere hadde infiltrert Nordic Choice-systemer 36 til 48 timer før de startet angrepet via en phishing-e-post som så ut til å ha blitt sendt av en turoperatør i hyppig kontakt med selskapet, sa Fiskvik.
En hotellansatt antok at meldingen var legitim og klikket på en ondsinnet lenke, sa han. Hackerne utslettet deretter de fleste av gjestgiverens antivirussystemer og kopierte data fra lokale Windows-filer, la han til.
Vel inne i hotellnettverket distribuerte hackere løsepengevare kjent som Conti, den samme stammen som har lammet en rekke bedriftsofre de siste månedene, så vel som Irlands offentlige helsesystem i 2020.
The Retail and Hospitality Information Sharing and Analysis Center, en ideell gruppe som forenkler utveksling av informasjon om cybertrusler, advarte medlemmene i oktober om økningen i løsepengevareangrep. Forhandlere og hotelleiere bør ta sikkerhetstiltak som å bruke multifaktorautentisering for nettbaserte e-postapplikasjoner og andre kritiske systemer, oppfordret RH-ISAC.
Hackerne la igjen en melding på Nordic Choice-datamaskiner om hvordan de skulle kontakte dem for å dekryptere de blokkerte dataene, men antydet ikke løsepenger. Selskapet hadde ingen planer om å snakke med angriperne eller betale løsepenger, sa Fiskvik. I forrige uke fant han imidlertid ut at noen hadde svart på hackerne i slutten av desember, da teknologisystemene ble gjenopprettet, til tross for advarsler fra teamet hans om ikke å gjøre det, og fikk hackerne til å be om 5 millioner dollar. Likevel betalte ikke selskapet.
Fiskvik vet ikke hvem hun kom i kontakt med, men det kan ha vært hvem som helst som hadde tilgang til løsepengene, som var tilgjengelig på alle hotellets datamaskiner, sa hun og la til at hun hadde rapportert kommunikasjonen til politiet.
Morgenen etter angrepet satte Nordic Choices teknologi- og operasjonsteam opp et kriseteam og bestemte seg for å fremskynde en eksisterende plan for å gå fra Microsoft Corp. sitt Windows-system til Alphabet Inc.s Google Chrome-produkter. Angrepet planla Fiskviks team å konvertere tusenvis av datamaskiner og hotellservicemaskiner fra Windows til Chrome som en del av et bærekraftsinitiativ. Han flyttet migrering som en måte å hjelpe til med å gjenopprette driften. Teknikere trengte ikke å besøke hoteller for å samle og rense datamaskiner, sa han.
Teamet konverterte den første datamaskinen innen 24 timer etter angrepet og gjenopprettet driften til det første hotellet innen 48 timer, og gjorde reservasjoner og sjekker inn på Chrome. Gruppen migrerte rundt 2000 datamaskiner til 212 hoteller på to dager, og sparte uker med arbeid, sa han.
Å erstatte eller endre teknologi etter et cyberangrep kan være komplisert og kan introdusere nye sikkerhetsproblemer, sa Bryon Hundley, visepresident for etterretningsoperasjoner ved RH-ISAC.
Offerselskapet er allerede i en sårbar posisjon, sa Hundley, og eksperter må teste ulike aspekter av sikkerhet, for eksempel multifaktorautentisering og identitetshåndtering på nye produkter. «Det er så mange kompleksiteter ved å implementere disse teknologiene, for å sikre at de fungerer og fortsatt opprettholde en god kundeopplevelse,» sa han.
Mens Nordic Choice jobbet med å gjenopprette teknologisystemer, la hackere ut personopplysninger om ansatte på det mørke nettet, inkludert detaljer om bankkontoene deres og offentlig utstedte identifikasjonsnumre. På den tiden hevdet de at de publiserte dataene var 10 % av det de stjal.
Noen dager senere ga de ut mer informasjon og sa at det var 20 % av totalen.
Selskapet holdt virtuelle møter for å informere ansatte om mørke webinnlegg og utdannede ledere om hvordan de kan hjelpe de berørte med å beskytte seg mot identitetstyveri. «Det var absolutt veldig vanskelig for våre ansatte å vite at dataene om dem var tilgjengelige på nettet, offentlig for alle med tilknytning,» sa Fiskvik.
Hackere har ikke tilgang til systemer med kundeinformasjon, sa han.
Nordic Choice har informert datatilsynet om datalekkasjer og fortsetter å overvåke det mørke nettet, sa han. Bedrifter er pålagt å raskt varsle regulatorer om et brudd på personopplysninger i henhold til den europeiske personvernloven i den generelle databeskyttelsesforordningen.
Fiskviks team utvikler et kort opplæringsprogram for nettsikkerhet for å lære ansatte om hacking-trusler på en lettfattelig måte, for eksempel ukentlige leksjoner om hvordan man gjenkjenner ondsinnede koblinger eller forstår andre trusler. «De fleste klarer ikke følge med. Det er bare ikke det de vet. Vi er hotelleiere, ikke teknologikyndige, sa han.
Denne historien ble lagt ut fra et kringkastingsbyrå-feed uten tekstendringer
Gå aldri glipp av en historie! Hold kontakten og informert med Mint. Last ned appen vår nå !!
«Internettevangelist. Ekstrem kommunikator. Subtilt sjarmerende alkoholelsker. Typisk tv-nerd.»