Visā pasaulē var būt skarts pat vēl vairāk viesnīcu. Ceļotāju kredītkaršu dati, kas glabājas viesnīcu administrēšanas sistēmā, tostarp dati, kas saņemti no interneta tūrisma aģentūrām, var tikt nozagti un pārdoti noziedzniekiem visā pasaulē. "RevengeHotels" ir kampaņa, kas aptver vairākas grupas, kuras izmanto parastus attālas piekļuves Trojas zirgus, lai inficētu uzņēmumus viesmīlības nozarē. Kampaņa ir aktīva kopš 2015. gada, taču 2019. gadā tās klātbūtne ir paplašinājusies. Tika konstatēts, ka kampaņā piedalās vismaz divas grupas --"RevengeHotels" un "ProCC" --, taču domājams, ka ir iesaistīts vairāk kibernoziedznieku grupu. 

Galvenais uzbrukuma vektors šajā kampaņā ir e-vēstules ar ļaunprātīgiem "Word", "Excel" vai PDF dokumentiem pielikumā. Daži no tiem izmanto CVE-2017-0199, ko ielādē, izmantojot VBS un "PowerShell" skriptus, un tad instalē upura datorā dažādu attālas piekļuves Trojas zirgu pielāgotas versijas un citas pielāgotas ļaunprogrammatūras, piemēram, "ProCC," kas vēlāk var izpildīt komandas un iestatīt attālu piekļuvi inficētajām sistēmām. Katra mērķpikšķerēšanas e-vēstule bija izstrādāta, pievēršot īpašu uzmanību sīkumiem, un, pasūtot viltus rezervējumu lielai grupai, autori parasti uzdevās par reālām personām no īstām organizācijām.

Svarīgi, ka pat piesardzīgus lietotājus var apmuļķot, lai viņi atver un lejupielādē šādu e-vēstuļu pielikumus, jo tās ietver daudz papildinformācijas (piemēram, juridisku dokumentu kopijas un viesnīcas rezervēšanas pamatojumu) un izskatās pārliecinoši. Vienīgais sīkums, kas var atklāt uzbrucēju, būtu organizācijas domēna kļūdainā rakstība. 

"Kaspersky" pētnieku savāktie pierādījumi liecina, ka noziedznieku forumos attāla piekļuve viesnīcu reģistratūrām un tajās ietvertajiem datiem tiek pārdota abonementu veidā. Ļaunprogrammatūra ievāca datus no viesnīcu reģistratūru starpliktuvēm un drukas spolētājiem, kā arī uzņēma ekrānuzņēmumus (šī funkcija tika iedarbināta, izmantojot noteiktus angļu vai portugāļu valodas vārdus). Tā kā viesnīcu darbinieki bieži iekopē no interneta tūrisma aģentūrām klientu kredītkaršu datus, lai iekasētu samaksu, arī šie dati var noplūst.

"Kaspersky" telemetrija ir apstiprinājusi cietušos Argentīnā, Bolīvijā, Brazīlijā, Čīlē, Kostarikā, Francijā, Itālijā, Meksikā, Portugālē, Spānijā, Taizemē un Turcijā. Tomēr, pamatojoties uz datiem, kas izvilkti no Bit.ly, populāra saišu saīsināšanas pakalpojuma, ko uzbrucēji izmantoja ļaunprātīgu saišu izplatīšanai, "Kaspersky" pētnieki uzskata, ka lietotāji no daudzām citām valstīm ir vismaz piekļuvuši ļaunprātīgajai saitei -- tas liecina, ka to valstu skaits, kurās ir potenciālie upuri, varētu būt lielāks. 

"Tā kā lietotāji arvien uzmanīgāk izturas pret to, cik aizsargāti patiesībā ir viņu dati, kibernoziedznieki pievēršas maziem uzņēmumiem, kas bieži vien nav pietiekami aizsargāti pret kiberuzbrukumiem un kuros ir liela personas datu koncentrācija. Viesnīcniekiem un citiem maziem uzņēmumiem, kas apstrādā klientu datus, ir jābūt piesardzīgākiem un jāizmanto profesionāli drošības risinājumi, lai izvairītos no datu noplūdēm, kas var ne tikai ietekmēt klientus, bet arī sabojāt viesnīcas reputāciju," komentēja Starptautiskās pētniecības un analīzes grupas Latīņamerikā vadītājs Dmitrijs Bestuževs.