Обнаружена киберпреступная группировка, которая специализируется на корпоративном шпионаже

Дата: 13.08.2020. Автор: Артем П. Категории: Новости по информационной безопасности
Обнаружена киберпреступная группировка, которая специализируется на корпоративном шпионаже

Эксперты по информационной безопасности из компании Group-IB отчитались о выявлении киберпреступной группировки RedCurl, которая работает в сфере корпоративного шпионажа. Среди жертв хакеров за последние годы – несколько десятков организаций из России, Европы, США.

Предполагается, что большинство участников группы RedCurl русскоговорящие. В своей киберпреступной деятельности хакеры применяют нестандартные инструменты для проведения кибератак. Основная цель при организации атаки для RedCurl – это документация, которая представляет коммерческую тайну, содержит личные сведения о сотрудниках компании.

Обнаружена киберпреступная группировка, которая специализируется на корпоративном шпионаже

Специалисты из Group-IB отмечают, что группировка RedCurl работает преимущественно по заказам – например, одна компания заказывает взломать другую, чтобы выкрасть информацию, представляющую для нее особенную ценность. Причем украденные данные могут не представлять ценности на киберпреступном рынке.

В отчете Group-IB говорится о том, что группировка RedCurl «работает» примерно с 2018 г. За три неполных года деятельности группа осуществила около 30 кибератак, которые происходили только на определенные коммерческие компании. Хакеры работают произвольно – атакам подвергались компании из России, Украины, Англии, США, Швеции, Швейцарии и других стран.

На данный момент компания Group-IB смогла определить 14 организаций, которые пострадали от кибератак группы RedCurl. Интересно, что некоторые организации хакеры атаковали по несколько раз.

Атака хакеров из RedCurl изначально строится на фишинге – на первом этапе составляется и тщательно прорабатывается фишинговое письмо, после чего киберпреступники внимательно исследуют инфраструктуру компании. Фишинговые письма разрабатываются не в целом для организации, а под конкретный департамент или под определенных ответственных сотрудников внутри нее.

Обычно хакеры отправляют письма якобы от имени HR-менеджера. Например, высылается фишинговое письмо о премировании сотрудника. В email содержится логотип компании, подпись, доменное имя – всё настоящее. Сотрудник открывает вложения и запускает киберпреступников в корпоративную сеть организации.

Основное используемое группой RedCurl вредоносное ПО – троян-загрузчик RedCurl.Dropper, который устанавливается и запускает остальные модули вредоносного софта.

Артем П

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован.