Hotel- und Gastgewerbe stehen seit Monaten unter Druck. Neben dem Tagesgeschäft rücken Cyberangriffe stärker in den Fokus. Eine aktuelle Angriffswelle zeigt, wie Täter mit getarnten Dateien, täuschend echten E-Mails und versteckter Schadsoftware vorgehen.
So läuft die Angriffskette ab
Die Angreifer setzen auf Archive mit Foto-Namen. Darin liegen Verknüpfungen, die wie Bilder aussehen. Ein Klick auf diese Datei startet eine Folge aus verschleierter PowerShell, einem Node.js-Implantat und weiteren Schritten zur dauerhaften Verankerung im System.
Die Schadsoftware trägt sich mehrfach in die Registry ein und hält so den Zugriff aufrecht. Für die Verbindung zu den Steuerungsservern gehen die Täter teils über ungewöhnliche Ports. Das erschwert die Erkennung im laufenden Betrieb.
Warum Hotelbetriebe ein attraktives Ziel sind
Hotels, Pensionen und Gastbetriebe arbeiten mit vielen Buchungen, kurzen Reaktionszeiten und hohem E-Mail-Aufkommen. Genau das machen sich Täter zunutze. Mails zu Zimmeranfragen, Beschwerden oder Buchungsdetails wirken glaubwürdig und führen oft zu schnellem Handeln.
Hinzu kommt, dass viele Teams mit wechselnden Schichten arbeiten. Wenn Zuständigkeiten unklar sind, öffnen Mitarbeitende eher Dateien oder Links, die dringend wirken. Das reicht oft schon für den ersten Zugriff.
Phishing wirkt durch echte Dienste glaubwürdiger
Die Täter missbrauchten für ihre E-Mails bekannte Dienste wie Calendly und einen Weiterleitungsdienst von Google. Dadurch sahen die Nachrichten seriöser aus. Die Mails waren mehrsprachig und trugen unterschiedliche Betreffzeilen und Köder.
Gerade im Hotelumfeld greifen solche Nachrichten oft. Eine Anfrage zu einem Zimmer, eine Beschwerde eines Gastes oder eine Rückfrage zur Buchung passt gut zum Alltag. Genau dieses Vertrauen spielt den Angreifern in die Hände.
Neue Varianten in der zweiten Angriffswelle
In der ersten Welle kamen Dateien mit dem Muster IMG<Zufallszahl>.png.lnk zum Einsatz. Später änderte sich der Aufbau zu PHOTO<Zufallszahl>.png.lnk. Die zweite Welle wirkte ausgefeilter und erzeugte eine .NET-DLL mit csc.exe.
Auch die Infrastruktur wurde angepasst. Die Täter setzten auf weitere Domains mit Cloudflare-Schutz. Damit wollten sie ihre Server schwerer auffindbar machen und die Abwehr verlangsamen.
Was die Angreifer nach dem Zugriff tun
Nach der Infektion melden sich kompromittierte Geräte am Command-and-Control-Server an. Teilweise erzwingen die Täter sogar das Herunterfahren einzelner Systeme. Sie kompilieren zudem PE-Dateien und legen damit den Grundstein für weitere Schritte.
Das eigentliche Ziel bleibt offen. Die Art des Vorgehens spricht aber dafür, dass die Täter weitere Aktionen auf den betroffenen Geräten planen. Für Betriebe bedeutet das: Ein kleiner Vorfall kann schnell zu einem größeren Schaden führen.
Warum jetzt besondere Vorsicht nötig ist
Die Angriffe fallen in eine Zeit, in der viele Gäste Reisen und Buchungen planen. Genau dann steigt das E-Mail- und Nachrichtenaufkommen rund um Reservierungen, Änderungen und Rückfragen. Das schafft Raum für Täuschung.
Auch Phishing über WhatsApp nimmt zu. Dabei greifen Täter teils auf echte Buchungsdaten zurück und bauen damit Druck auf. Wer in diesem Umfeld arbeitet, braucht klare Prüfregeln für Mails, Anhänge und Rückfragen.
So schützen Sie Ihren Betrieb
Hotels und Gastbetriebe sollten Anhänge mit Endungen wie .lnk oder doppelt getarnten Dateien nie ungeprüft öffnen. Mitarbeitende brauchen klare Regeln für Buchungsanfragen, Reklamationen und externe Links. Verdächtige Mails gehören an eine zentrale Stelle zur Prüfung.
Wichtig sind feste Abläufe für Schichtwechsel, ein aktueller Schutz auf allen Endgeräten und getrennte Zugänge für unterschiedliche Aufgaben. Ein sauberer Blick auf Logdaten hilft, verdächtige Verbindungen früh zu sehen. Wer Angriffe schnell meldet, kann Folgeschäden begrenzen.
Für Betriebe im Hotel- und Gastgewerbe zählt vor allem ein klarer Alltag mit festen Prüfregeln. So sinkt das Risiko, dass eine gut getarnte Nachricht zum Einstiegspunkt für Kriminelle wird.