«Лаборатория Касперского» зафиксировала волну кибератак на отели с использованием ИИ для генерации вредоносного кода
Группировка RevengeHotels начала использовать большие языковые модели для создания фишинговых писем и троянов, атакуя системы отелей в Бразилии и Латинской Америке — цель: кража данных банковских карт постояльцев. Вредоносный код VenomRAT, вероятно, частично сгенерирован ИИ, что повышает его адаптивность и избегание детектирования.
Эксперты Kaspersky GReAT (Глобальный центр исследования и анализа угроз «Лаборатории Касперского») выявили новую волну целенаправленных кибератак, направленных на информационные системы отельных комплексов по всему миру. Атаки ведёт группа RevengeHotels, известная с 2015 года, но в летний период 2025 года злоумышленники значительно модернизировали свои методы — в частности, начали применять большие языковые модели (LLM) для автоматической генерации вредоносного кода и фишинговых материалов.
Основными мишенями остаются гостиницы в Бразилии, однако кампания охватила также Аргентину, Боливию, Чили, Коста-Рику, Мексику и Испанию. Ранее группа активно действовала в России, Беларуси, Турции, Малайзии, Италии и Египте, но в текущей фазе акцент сместился на страны Латинской Америки, где инфраструктура отельных систем часто слабо защищена, а сотрудники не проходят регулярную подготовку по кибербезопасности.
Заражение происходит через фишинговые электронные письма, маскирующиеся под официальные запросы: например, подтверждения бронирования номера, уведомления о заселении или заявки на вакансии в сфере гостеприимства. Письма содержат ссылки на поддельные сайты, которые при посещении загружают на устройство жертвы троянец VenomRAT — удалённый доступ к системе, позволяющий перехватывать вводимые данные, копировать файлы, записывать экран и извлекать информацию из браузеров, включая реквизиты банковских карт, введённые при оплате через онлайн-платформы отеля.
Особенностью этой кампании стало использование ИИ для генерации части вредоносного кода. Анализ показал, что значительная доля скриптов и обфусцированных фрагментов имеет признаки автоматического создания: нестандартные структуры, нехарактерные для человеческого программирования, сложные цепочки вызовов API, оптимизированные под обход антивирусных сигнатур. Это позволяет злоумышленникам быстрее адаптировать вредоносное ПО под новые среды, снижать вероятность обнаружения и увеличивать продолжительность пребывания в сети без выявления.
После компрометации системы злоумышленники получают доступ к резервным копиям баз данных гостиничных систем, кассовым терминалам и платёжным шлюзам, где хранятся данные клиентов — номера карт, сроки действия, CVV-коды. Информация экспортируется в закрытые каналы даркнета и используется для проведения мошеннических транзакций или продажи на специализированных рынках.
Системы защиты «Лаборатории Касперского» успешно детектируют угрозу под следующими сигнатурами: Trojan-Downloader.Script.Agent.gen, HEUR:Trojan.Win32.Generic, HEUR:Trojan.MSIL.Agent.gen, Trojan-Downloader.PowerShell.Agent.ady, Trojan.PowerShell.Agent.aqx. Однако эффективность защиты зависит от своевременного обновления антивирусных баз и наличия многоуровневой архитектуры безопасности.
Для организаций гостеприимства рекомендованы следующие меры:
Пользователям, бронирующим проживание, рекомендуется:
Увеличение использования ИИ в киберпреступности не означает, что атаки становятся неуязвимыми — но они становятся более масштабируемыми, адаптивными и трудноопределяемыми. Для отельной индустрии, где основной актив — доверие клиентов и конфиденциальность данных, любое нарушение может привести к потере репутации, юридическим последствиям и падению доходов, превышающему затраты на внедрение современной защиты.
Заражение происходит через фишинговые электронные письма, маскирующиеся под официальные запросы: например, подтверждения бронирования номера, уведомления о заселении или заявки на вакансии в сфере гостеприимства. Письма содержат ссылки на поддельные сайты, которые при посещении загружают на устройство жертвы троянец VenomRAT — удалённый доступ к системе, позволяющий перехватывать вводимые данные, копировать файлы, записывать экран и извлекать информацию из браузеров, включая реквизиты банковских карт, введённые при оплате через онлайн-платформы отеля.
Особенностью этой кампании стало использование ИИ для генерации части вредоносного кода. Анализ показал, что значительная доля скриптов и обфусцированных фрагментов имеет признаки автоматического создания: нестандартные структуры, нехарактерные для человеческого программирования, сложные цепочки вызовов API, оптимизированные под обход антивирусных сигнатур. Это позволяет злоумышленникам быстрее адаптировать вредоносное ПО под новые среды, снижать вероятность обнаружения и увеличивать продолжительность пребывания в сети без выявления.
После компрометации системы злоумышленники получают доступ к резервным копиям баз данных гостиничных систем, кассовым терминалам и платёжным шлюзам, где хранятся данные клиентов — номера карт, сроки действия, CVV-коды. Информация экспортируется в закрытые каналы даркнета и используется для проведения мошеннических транзакций или продажи на специализированных рынках.
Системы защиты «Лаборатории Касперского» успешно детектируют угрозу под следующими сигнатурами: Trojan-Downloader.Script.Agent.gen, HEUR:Trojan.Win32.Generic, HEUR:Trojan.MSIL.Agent.gen, Trojan-Downloader.PowerShell.Agent.ady, Trojan.PowerShell.Agent.aqx. Однако эффективность защиты зависит от своевременного обновления антивирусных баз и наличия многоуровневой архитектуры безопасности.
Для организаций гостеприимства рекомендованы следующие меры:
- Проведение регулярных тренингов для персонала по распознаванию социальной инженерии с использованием платформ типа Kaspersky Automated Security Awareness Platform;
- Внедрение комплексного решения для защиты рабочих мест — Kaspersky Security для бизнеса — с включением контроля исполняемых файлов и мониторинга сетевого трафика;
- Использование специализированного инструмента Kaspersky Security для почтовых серверов для автоматической фильтрации фишинговых сообщений и их блокировки до попадания в ящики сотрудников;
- Ограничение прав доступа к платежным системам и базам данных только для уполномоченных лиц с двухфакторной аутентификацией.
Пользователям, бронирующим проживание, рекомендуется:
- Использовать только проверенные платформы бронирования — официальные сайты отелей, крупные агрегаторы с SSL-сертификатами и репутацией;
- Избегать ресурсов с подозрительными доменами, опечатками в названиях брендов или предлагающих цены ниже рыночных на 40% и более;
- Проверять URL перед вводом платежных данных — наличие протокола HTTPS, корректное написание домена, отсутствие лишних поддоменов;
- Устанавливать на все устройства защитные решения с функциями против фишинга и мошенничества, такие как Kaspersky Premium, обеспечивающие реальное время блокировки поддельных страниц.
Увеличение использования ИИ в киберпреступности не означает, что атаки становятся неуязвимыми — но они становятся более масштабируемыми, адаптивными и трудноопределяемыми. Для отельной индустрии, где основной актив — доверие клиентов и конфиденциальность данных, любое нарушение может привести к потере репутации, юридическим последствиям и падению доходов, превышающему затраты на внедрение современной защиты.
© 19.09.2025
Закажите обратный звонок
Оставьте свой телефон, мы свяжемся с вами в ближайшее время
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности
Контакты:
info@smartinfra.ru
105118, г. Москва,
ул. Буракова, 27 к3,
3 этаж, офис 322
105118, г. Москва,
ул. Буракова, 27 к3,
3 этаж, офис 322
© 2025