Эксперты по информационной безопасности из компании Group-IB отчитались о выявлении киберпреступной группировки RedCurl, которая работает в сфере корпоративного шпионажа. Среди жертв хакеров за последние годы – несколько десятков организаций из России, Европы, США.
Предполагается, что большинство участников группы RedCurl русскоговорящие. В своей киберпреступной деятельности хакеры применяют нестандартные инструменты для проведения кибератак. Основная цель при организации атаки для RedCurl – это документация, которая представляет коммерческую тайну, содержит личные сведения о сотрудниках компании.
Специалисты из Group-IB отмечают, что группировка RedCurl работает преимущественно по заказам – например, одна компания заказывает взломать другую, чтобы выкрасть информацию, представляющую для нее особенную ценность. Причем украденные данные могут не представлять ценности на киберпреступном рынке.
В отчете Group-IB говорится о том, что группировка RedCurl «работает» примерно с 2018 г. За три неполных года деятельности группа осуществила около 30 кибератак, которые происходили только на определенные коммерческие компании. Хакеры работают произвольно – атакам подвергались компании из России, Украины, Англии, США, Швеции, Швейцарии и других стран.
На данный момент компания Group-IB смогла определить 14 организаций, которые пострадали от кибератак группы RedCurl. Интересно, что некоторые организации хакеры атаковали по несколько раз.
Атака хакеров из RedCurl изначально строится на фишинге – на первом этапе составляется и тщательно прорабатывается фишинговое письмо, после чего киберпреступники внимательно исследуют инфраструктуру компании. Фишинговые письма разрабатываются не в целом для организации, а под конкретный департамент или под определенных ответственных сотрудников внутри нее.
Обычно хакеры отправляют письма якобы от имени HR-менеджера. Например, высылается фишинговое письмо о премировании сотрудника. В email содержится логотип компании, подпись, доменное имя – всё настоящее. Сотрудник открывает вложения и запускает киберпреступников в корпоративную сеть организации.
Основное используемое группой RedCurl вредоносное ПО – троян-загрузчик RedCurl.Dropper, который устанавливается и запускает остальные модули вредоносного софта.
