# RevengeHotels - Campanha de Espionagem em Redes Hoteleiras LATAM > [!high] Campanha LATAM - Espionagem em Hotéis com Foco em Viajantes Corporativos > Campanha de ciberespionagem com foco exclusivo no setor hoteleiro latino-americano, documentada pela Kaspersky em 2019. Grupos criminosos usaram spear-phishing temático contra funcionários de hotéis para roubar credenciais de plataformas de reserva e dados de cartões de crédito de viajantes corporativos. Brasil foi o país mais afetado. ## Visão Geral A campanha **RevengeHotels** é um caso raro de operação criminosa com foco exclusivo no setor de hospitalidade latino-americano - documentada pelos pesquisadores da Kaspersky em novembro de 2019. A campanha envolveu pelo menos dois grupos distintos (ProtoHotel e VerdantWharf) que operaram de forma independente mas com TTPs similares, visando funcionários de hotéis de 2015 a 2020. O objetivo central não era o hotel em si, mas os dados de hóspedes: credenciais de plataformas de reserva (Booking.com, Expedia), informações de cartão de crédito de viajantes corporativos, e acesso a sistemas de gerenciamento de propriedade (PMS) que armazenam dados de check-in/check-out, histórico de estadias e preferências de hóspedes de alto valor. O [[s0379-revenge-rat|Revenge RAT]] foi a ferramenta central desta campanha - um RAT brasileiro/latino-americano de baixo custo disponível em fóruns de hacking, demonstrando que operações criminosas sofisticadas do ponto de vista operacional não requerem malware caro. A combinação de [[s0379-revenge-rat|Revenge RAT]], [[netwire-rat|NetWire]] e scripts personalizados permitiu ao grupo estabelecer persistência duradoura em sistemas de recepção e reservas de hotéis. O Brasil foi o país mais afetado, com vítimas confirmadas em São Paulo, Rio de Janeiro e nas principais cidades turísticas. A campanha teve impacto direto em viajantes corporativos brasileiros e internacionais que usaram hotéis comprometidos - seus dados de cartão de crédito foram capturados via keylogging em sistemas de check-in. **Plataformas:** Windows (sistemas de recepção e PMS hoteleiro) ## Cadeia de Infecção ```mermaid graph TB A["📧 Spear-phishing temático<br/>email sobre reserva pendente<br/>ou reclamação de hóspede"] --> B["📎 Anexo Word/Excel<br/>com macro maliciosa<br/>ou link para download"] B --> C["💾 Revenge RAT ou NetWire<br/>instalado no sistema<br/>de recepção do hotel"] C --> D["⌨️ Keylogging ativo<br/>captura de credenciais<br/>de plataformas de reserva"] D --> E["🔑 Acesso a Booking/Expedia<br/>via credenciais roubadas<br/>dados de cartões de hóspedes"] E --> F["💳 Exfiltração de dados<br/>CVVs, números de cartão<br/>dados pessoais de hóspedes"] ``` **Ecossistema de alvos hoteleiros:** ```mermaid graph TB A["🏨 Funcionário de hotel<br/>sistema Windows na recepção"] --> B["💾 RAT instalado<br/>permanência silenciosa<br/>meses ou anos"] B --> C["🌐 Plataformas de reserva<br/>Booking.com, Expedia<br/>credenciais capturadas"] B --> D["🏷️ PMS hoteleiro<br/>Opera, RoomMaster<br/>dados históricos de hóspedes"] C --> E["👤 Vítima final<br/>viajante corporativo<br/>dados de cartão roubados"] D --> E ``` ## Técnicas Utilizadas | ID | Nome | Fase | |----|------|------| | [[t1566-001-spearphishing-attachment\|T1566.001]] | Spearphishing Attachment | Email com macro em Word/Excel sobre reservas | | [[t1204-002-malicious-file\|T1204.002]] | Malicious File | Abertura do documento com macro habilita RAT | | [[t1056-001-keylogging\|T1056.001]] | Keylogging | Captura de credenciais de plataformas de reserva | | [[t1539-steal-web-session-cookie\|T1539]] | Steal Web Session Cookie | Roubo de sessões de Booking.com e Expedia | | [[t1071-001-web-protocols\|T1071.001]] | Web Protocols | RAT se comúnica via HTTP/HTTPS com C2 | ## Países Afetados e Escala A Kaspersky identificou vítimas confirmadas em: - **Brasil** (maior número de vítimas - São Paulo, Rio de Janeiro, Florianópolis) - **Argentina**, **Chile**, **México**, **Peru**, **Bolívia**, **Costa Rica** - **Portugal** (extensão europeia da campanha) O perfil de alvo incluía hotéis de 3-5 estrelas em centros de negócios e destinos turísticos corporativos - onde a concentração de viajantes de alto valor maximizava o retorno do ataque. Hotéis boutique e redes menores foram os mais afetados, pois têm menor maturidade de segurança que as grandes redes internacionais. ## Relevância LATAM/Brasil > [!latam] Relevância para o Brasil e América Latina > O Brasil foi o epicentro desta campanha, com hotéis em São Paulo, Rio de Janeiro e cidades turísticas comprometidos por anos. O Revenge RAT é associado ao ecossistema de cibercrime brasileiro. Em contexto pós-LGPD, um incidente similar envolveria notificação obrigatória à ANPD e responsabilidade civil do estabelecimento. A RevengeHotels é uma das campanhas com maior relevância direta para o Brasil no portfólio do RunkIntel: 1. **Brasil como epicentro**: O país foi o mais afetado pela campanha, com hotéis em múltiplas cidades comprometidos por anos 2. **Ferramenta brasileira**: O [[s0379-revenge-rat|Revenge RAT]] é associado ao ecossistema de cibercrime brasileiro - evidência de que operadores locais conduziam as intrusões 3. **Setor hoteleiro vulnerável**: Hotéis brasileiros tipicamente operam com Windows XP/7 legados nos sistemas de recepção, sem solução EDR, e com staff de TI limitado 4. **Impacto em viajantes corporativos**: Executivos de grandes empresas brasileiras tiveram dados de cartão corporativo comprometidos durante estadias em hotéis afetados 5. **LGPD**: Em contexto pós-2020, um incidente similar envolveria notificação obrigatória à ANPD e possível responsabilidade do hotel sob LGPD ## Detecção **Indicadores de comprometimento para ambientes hoteleiros:** - `revengerat.exe` ou processo com nome aleatório em `%APPDATA%` ou `%TEMP%` - Processos com comunicação HTTPS para domínios registrados recentemente - Criação de scheduled task ou entrada de registro para execução automática em startup **Fontes de dados:** - **Sysmon Event ID 1:** Processos criados por Word.exe ou Excel.exe após abertura de documento - **Windows Startup/Registry:** Entradas de persistência não reconhecidas em HKCU\Run - **Network:** Conexões regulares de processos não-browser para IPs externos **Regras de detecção:** - Sigma: `proc_creation_win_office_spawn_unusual_child_process.yml` - child process de Office - YARA: Revenge RAT - strings características documentadas pela Kaspersky ## Referências - [1](https://securelist.com/revengehotels/95229/) Kaspersky Securelist - RevengeHotels: Cybercrime Groups Targeting the Hospitality Sector (2019) - [2](https://attack.mitre.org/software/S0379/) MITRE ATT&CK - Revenge RAT (S0379) - [3](https://www.interpol.int/News-and-Events/News/2020/INTERPOL-operation-targets-malware-targeting-hotels) INTERPOL - Operation targeting hotel malware - [4](https://www.welivesecurity.com/la-es/revengehotels-latam-hospitality/) ESET WeLiveSecurity - RevengeHotels LATAM Coverage