RevengeHotels è una campagna di malware contro hotel, ostelli, settore dell'hospitality in generale. È attiva dal 2015, ma gli esperti di sicurezza di Kaspersky hanno rilevato un aumento degli attacchi nel 2019. L’indagine ha riscontrato che sono stati colpiti più di 20 hotel in Europa, oltre che in America Latina e Asia. È possibile che il numero sia ben più alto. Il rischio è il furto dei dati delle carte di credito dei turisti, archiviati nel sistema di gestione alberghiera. Sono comprese le informazioni collezionate tramite le agenzie di viaggio online (OTA).

Gli attacchi avvengono principalmente tramite trojan. Il codice malevolo è celato all'interno di documenti Word, Excel o PDF allegati alle email. Alcuni di questi sfruttano la vulnerabilità CVE-2017-0199, che si serve degli script VBS e PowerShell per il caricamento.
Una volta aperti, installano sul dispositivo della vittima versioni personalizzate di malware. Questi ultimi consentono di impostare l’accesso da remoto ai sistemi infetti e di eseguire alcuni comandi. Gli esperti di sicurezza hanno identificato almeno due gruppi, RevengeHotels e ProCC, ma probabilmente ne sono coinvolti anche altri.

Da notare che tutte le email di spear-phishing sono state realizzate con particolare attenzione ai dettagli. Gli impostori impersonano utenti reali di aziende legittime, che effettuano una falsa richiesta di prenotazione per gruppi numerosi di persone. Le email sono ricche di dettagli: copie di documenti legali, motivazioni legate alla prenotazione. Questo destabilizza i destinatari inducendo anche i più sospettosi ad aprire e scaricare gli allegati. L’unico campanello d'allarme è un “typosquatting”, ossia un errore di digitazione nel dominio dell’organizzazione.

L'aspetto più inquietante è che il gruppo criminale non è l’unico ad accedere ai dati rubati. Secondo Kaspersky, le informazioni diventano oggetto di compravendita sui forum del dark web. Fra queste ci sono dati presi dagli appunti dei front desk, dagli spooler di stampa e dagli screenshot.
La telemetria di Kaspersky rivela che in Europa le vittime interessano Italia, Francia, Portogallo e Spagna. Per proteggersi, Kaspersky consiglia di usare carte di pagamento virtuali quando si effettuano prenotazioni tramite agenzie online. Quando si salda il conto in hotel, meglio servirsi di portafogli virtuali, come Apple Pay o Google Pay.

Sul fronte degli albergatori, è consigliata invece una valutazione dei rischi della rete esistente e l'implementazione di norme relative a trattamento dei dati. Bisogna inoltre installare una soluzione di sicurezza con funzionalità di protezione web e di controllo delle applicazioni. Il personale dovrebbe frequentare corsi di formazione sulla sicurezza per riconoscere i tentativi di spear-phishing.