Кибергруппа RevengeHotels атакует информационные системы отелей в разных странах с целью кражи данных банковских карт постояльцев
Летом 2025 года эксперты Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») обнаружили новую волну кибератак группы RevengeHotels. Злоумышленники атакуют информационные системы отелей в разных странах с целью кражи данных банковских карт постояльцев. Группа активна с 2015 года и с тех пор усовершенствовала свои методы. Отличительной особенностью этой кампании стало то, что многие из новых образцов вредоносного ПО были созданы с применением ИИ. Специалисты рассказали об этом на конференции Kaspersky CyberSecurity Weekend 2025 в Минске.
Основные мишени кибератак — гостиницы в Бразилии, однако цели выявлены и в нескольких испаноговорящих странах — Аргентине, Боливии, Чили, Коста-Рике, Мексике, Испании. В предыдущих кампаниях группа RevengeHotels атаковала пользователей в России, Беларуси, Турции, Малайзии, Италии и Египте.
Как происходит заражение. Злоумышленники рассылают фишинговые письма, которые маскируются под запросы о бронировании номера отеля или обращения соискателей о поиске работы в сфере гостевого сервиса. Они содержат вложение со ссылкой на вредоносный сайт. Если перейти по ней, на устройство загрузится троянец VenomRAT, позволяющий удалённо контролировать скомпрометированные системы, красть данные банковских карт постояльцев и другую конфиденциальную информацию.
«Хотя почерк RevengeHotels остаётся узнаваемым, злоумышленники совершенствуют свои методы. В частности, значительная часть вредоносного кода предположительно была написана с использованием больших языковых моделей (LLM). Это свидетельствует об активном применении ИИ-технологий для повышения эффективности кибератак. Важно понимать, что банковские и другие конфиденциальные данные могут оказаться под угрозой даже на сайтах крупных и известных отелей, поэтому необходимо всегда проявлять осторожность», — комментирует Дмитрий Галов, руководитель Kaspersky GReAT в России.
Решения «Лаборатории Касперского» защищают пользователей от данной киберугрозы и детектируют вредоносное ПО как Trojan-Downloader.Script.Agent.gen, HEUR:Trojan.Win32.Generic, HEUR:Trojan.MSIL.Agent.gen, Trojan-Downloader.PowerShell.Agent.ady, Trojan.PowerShell.Agent.aqx.
Подробнее о киберугрозе можно узнать на Securelist.ru.
Чтобы не стать жертвой таких атак, «Лаборатория Касперского» рекомендует владельцам и ИТ-отделам отелей:
· проводить тренинги по кибербезопасности для сотрудников, обучать их распознавать техники социальной инженерии, например с помощью платформы Kaspersky Automated Security Awareness Platform;
· для комплексной безопасности использовать решение для защиты рабочих мест, например такое как Kaspersky Security для бизнеса, а в дополнение к нему — специализированный инструмент для корпоративной почты — Kaspersky Security для почтовых серверов, который автоматически будет отправлять подобные письма в спам.
Чтобы защитить свои данные во время поездок и проживания в отелях, «Лаборатория Касперского» рекомендует пользователям:
· обращайте внимание на репутацию онлайн-ресурсов: при заказе билетов пользуйтесь проверенными и известными платформами бронирования, сайтами авиакомпаний и отелей; остерегайтесь незнакомых или подозрительных площадок, предлагающих невероятно низкие цены или требующих предоставления избыточной персональной информации;
· проверяйте подлинность сайтов: прежде чем совершать какие-либо операции или предоставлять личные данные, дважды проверьте URL-адрес на наличие безопасного соединения, не вводите свои данные на ресурсах с опечатками или необычными доменными именами;
· используйте на всех устройствах надёжное защитное решение с защитой от онлайн-мошенничества и фишинга, например Kaspersky Premium.
О Kaspersky GReAT
Глобальный центр исследования и анализа угроз (Kaspersky GReAT) основан в 2008 году. Его задача — выявлять APT-атаки, кампании кибершпионажа, вредоносное ПО, программы-вымогатели и тренды в киберпреступности по всему миру. Сегодня в команде Kaspersky GReAT более 40 экспертов, работающих по всему миру — в Европе, России, Северной и Южной Америке, Азии, на Ближнем Востоке. Талантливые профессионалы в сфере кибербезопасности играют ведущую роль в исследовании вредоносного ПО и создании инновационных методов борьбы с ним. Их богатый опыт, мотивация и любознательность способствуют эффективному обнаружению и анализу киберугроз.
