Un número no revelado de usuarios de la plataforma de punto de venta Aloha del gigante multinacional de pagos NCR para empresas hoteleras está experimentando una interrupción continua de su servicio, luego de un ataque de ransomware BlackCat la semana pasada.
La interrupción está afectando a múltiples elementos de la plataforma Aloha en América del Norte y a una cantidad limitada de servicios tanto en Europa como en Asia-Pacífico, principalmente relacionados con pedidos en línea.
El incidente comenzó alrededor del miércoles 12 de abril y se manifestó como una interrupción en el centro de datos DFW05 de la organización que afectó a un “número limitado de aplicaciones auxiliares de Aloha” para un “subconjunto” de sus clientes.
En un comunicado, NCR dijo: “El 13 de abril, confirmamos que la interrupción fue el resultado de un incidente de ransomware. Inmediatamente después de descubrir este desarrollo, comenzamos a contactar a los clientes, contratamos a expertos en seguridad cibernética de terceros y lanzamos una investigación. La policía también ha sido notificada.
“Tenga la seguridad de que tenemos un camino claro hacia la recuperación y estamos actuando en su contra”, dijo. “Estamos trabajando día y noche para restaurar el servicio completo para nuestros clientes. Además, brindamos a nuestros clientes asistencia dedicada y soluciones alternativas para respaldar sus operaciones mientras trabajamos hacia la restauración completa. Los restaurantes afectados aún pueden atender a sus clientes. Solo la funcionalidad específica se ve afectada. No hay impacto en las aplicaciones de pago ni en los sistemas locales.
“La seguridad e integridad de nuestros sistemas es una prioridad principal para NCR”, dijo la organización. “Continuaremos manteniéndolo actualizado con información pertinente y le informaremos tan pronto como los servicios afectados se hayan restaurado por completo. Mientras tanto, comuníquese con el soporte de NCR o con su representante de cuenta si tiene alguna pregunta o necesita soporte adicional”.
El ataque fue reivindicado por BlackCat el sábado 15 de abril, como inicialmente informado por el investigador de seguridad Dominic Alvieri. En una publicación en su sitio de fugas en la web oscura, la pandilla dijo que NCR se había puesto en contacto con ellos para establecer qué datos habían sido robados, que supuestamente son las credenciales de los clientes utilizadas para acceder a Aloha. Estas publicaciones se eliminaron posteriormente del sitio de BlackCat.
Los usuarios de la plataforma Aloha de NCR en el Reino Unido incluyen cadenas de alto perfil como BrewDog, Dishoom, Gaucho y Yo! Sushi. No hay indicios de que se hayan robado datos de ninguna de estas organizaciones, pero las publicaciones en el Subreddit dedicado de Aloha sugieren que la interrupción ha tenido algún impacto en el Reino Unido.
“Los ataques de ransomware en las plataformas de POS pueden tener un impacto desastroso en la industria de la hospitalidad, lo que provoca un tiempo de inactividad del servicio y una interrupción a largo plazo”, dijo Simon Chassar, director de ingresos de Claroty.
“Nuestra investigación muestra que el 51 % del sector de alimentos y bebidas reportó una interrupción sustancial cuando se vio afectado por un ataque de ransomware en 2021. Además, estos ataques pueden causar pérdidas financieras significativas para las organizaciones, y más de un tercio afirma que el impacto en los ingresos de la interrupción operativa sería al menos un millón de dólares por hora”.
Dijo que a medida que la industria hotelera se automatiza y digitaliza aún más, es probable que aumente su superficie de riesgo general, y dado que el sector aún lucha a raíz de la pandemia de Covid-19, no puede permitirse el tiempo de inactividad que surge del ransomware.
Por lo tanto, dijo Chassar, es esencial que las empresas hoteleras intenten implementar prácticas más proactivas para asegurar sus sistemas.
“Las empresas deben tener visibilidad en toda su red para todos los activos conectados para comprender su postura de riesgo y proporcionar parches a los activos críticos, como la tecnología operativa y los dispositivos IoT”, dijo. “También es fundamental segmentar sus redes para restringir la conectividad innecesaria y el movimiento de malware para mitigar el impacto de los ciberataques”.
¿Quién es Black Cat?
BlackCat, que también se conoce como ALPHV y Noberus, saltó a la fama a principios de 2022 con una serie de atracos a organizaciones de infraestructura crítica en Europa. La operación está respaldada por un grupo rastreado como Coreid, FIN7 y Carbon Spider en varias matrices de amenazas, un jugador establecido desde hace mucho tiempo en la “comunidad” de ransomware con sede en Rusia o vinculada.
A fines de 2022, se había convertido en un actor altamente peligroso, con actualizaciones frecuentes de su malware de casillero, incluida una compilación ARM para encriptar arquitecturas no estándar y una mejor funcionalidad de encriptación para sus compilaciones de Windows y Linux.
BlackCat es una amenaza relativamente constante en comparación con LockBit, pero aumentó sus ataques en febrero y representó aproximadamente el 13 % de los ataques de ransomware registrados en la telemetría de NCC para el período, como se documenta en su informe mensual de amenazas.