Nordic Choice Hotels a maintenant confirmé une cyberattaque sur ses systèmes par le groupe de ransomware Conti.
L’incident affecte principalement les systèmes de réservation des clients et de carte-clé des chambres de l’hôtel.
Bien qu’il n’y ait aucune indication que les mots de passe ou les informations de paiement soient affectés, des informations relatives aux réservations des clients ont potentiellement été divulguées.
La chaîne hôtelière scandinave, avec ses marques Comfort, Quality et Clarion, emploie plus de 16 000 personnes et possède 200 propriétés en Scandinavie, en Finlande et dans les pays baltes.
Cartes-clés hors service
Plus tôt cette semaine, le groupe Nordic Choice Hotels a annoncé que ses systèmes informatiques avaient été touchés par un « virus informatique » le jeudi 2 décembre.
L’incident a laissé le personnel de l’hôtel sans accès aux systèmes de réservation de l’hôtel qui gèrent l’enregistrement, le départ, les paiements et les réservations.
Bien que le personnel soit passé à des procédures manuelles pour effectuer les opérations commerciales, l’hôtel a informé les clients que des retards sont a prévoir.
Les membres ne peuvent actuellement pas se connecter à leurs comptes Nordic Choice Hotels pour réserver et gérer des réservations, ou appliquer des points de récompense, bien qu’il reste possible de réserver des séjours sans être connectés :
Un article de blog ultérieur par le groupe hôtelier confirmé la portée de l’incident s’étend aux membres du Nordic Choice Club, en plus des clients actuels de l’hôtel.
L’un des clients de l’hôtel, la chercheuse en sécurité Runa Sandvik, a également signalé que les cartes-clés étaient hors service :
Il s’avère que l’hôtel dans lequel je séjourne est affecté par un ransomware et que ma carte-clé ne fonctionne pas. pic.twitter.com/F4dYa9iQ8q
– Runa Sandvik (@runasand) 5 décembre 2021
Pas encore de demande de rançon, les forces de l’ordre engagées
Les organismes chargés de l’application des lois, dont l’Autorité norvégienne de protection des données et l’Autorité norvégienne de sécurité nationale, ont été informés de l’attaque par la société hôtelière le 2 décembre, le même jour que l’attaque.
« Nos enquêtes ne donnent actuellement aucune indication que des données ont été divulguées, mais nous ne pouvons garantir que ce soit le cas. Par conséquent, l’incident comporte un risque de perte d’informations sur les réservations des clients », explique la société dans un communiqué. Libération.
« Ces informations se composent du nom, de l’adresse e-mail, du numéro de téléphone, de la date de la visite et de toute information que le client peut avoir fournie dans le cadre de sa visite. Rien n’indique que les informations de carte ou de paiement ont été divulguées. »
Bien que le groupe hôtelier ne puisse pas encore être sûr d’une fuite de données, la décision d’être transparent et d’informer ses membres de l’incident est un effort pour les tenir informés de toute communication suspecte – SMS, messages, appels téléphoniques ou e-mails, qui peuvent être dirigé vers eux.
À l’heure actuelle, le groupe hôtelier a « choisi de ne pas contacter » les auteurs de l’attaque, et ils n’ont pas non plus reçu de demande de rançon du groupe de rançongiciels Conti.
EZpublish-france.fr n’a pas non plus trouvé le nom du groupe hôtelier sur les pages de fuite de données de Conti, ce qui indique que l’attaque du ransomware en est à ses débuts et que les négociations n’ont peut-être pas encore commencé.
Le ransomware Conti est une opération privée de Ransomware-as-a-Service (RaaS) qui serait contrôlée par un groupe de cybercriminalité basé en Russie connu sous le nom de Wizard Spider.
Conti partage une partie de son code avec le célèbre Ryuk Ransomware, dont ils ont commencé à utiliser les canaux de distribution TrickBot après la diminution de l’activité de Ryuk vers juillet 2020.
Ce gang de ransomware a précédemment ciblé plus d’une douzaine d’organisations de soins de santé et de premiers intervenants, ainsi que les systèmes des services de police.
Plus tôt cette année, Conti a violé les réseaux du Health Service Executive (HSE) et du ministère de la Santé (DoH) d’Irlande, demandant au premier de payer une rançon de 20 millions de dollars après avoir crypté avec succès ses systèmes.
« Au cours du week-end, nous avons réussi à mettre en place des solutions de remplacement dans la plupart de nos hôtels. Le travail bat maintenant son plein pour remettre tout le monde à un fonctionnement normal, ce que nous pensons être fait dans les prochains jours », déclare Bjørn Arild Wisth, directeur général adjoint de Nordic Choice Hotels.
Au cours des prochains jours, alors que la société travaille avec les forces de l’ordre pour remédier à la cyberattaque, certaines propriétés hôtelières peuvent continuer à subir des retards en ce qui concerne les processus d’enregistrement, de départ et de réservation.
« Notre centre client a actuellement une possibilité limitée de modifier et d’ajouter des réservations, mais est en place pour pouvoir répondre à toutes les questions. Dans ce cas, nous vous recommandons de nous envoyer un e-mail à booking@choice.no ou d’utiliser notre site Web pour plus d’informations informations », conseille Nordic Choice Hotels.