Работающая в области кибербезопасности компания Group-IB выявила необычную по "специализации" хакерскую группировку — она, вероятно, выполняла заказы в области корпоративного шпионажа. RedCurl (так в отчете Group-IB названо хакерское формирование) действует с 2018-го года и состоит преимущественно из русскоязычных киберпреступников.
По данным исследователей, за время работы RedCurl провела как минимум 26 целевых атак на компании различных отраслей, от строительной до туристической, в России, Украине, Великобритании, Германии, Канаде и Норвегии. Главной целью злоумышленников было похищение конфиденциальных корпоративных данных – финансовых и судебных документов, контрактов, личных дел сотрудников и т.п.
По мнению экспертов Group-IB это может указывать на заказной характер деятельности хакеров RedCurl в интересах недобросовестных конкурентов компаний-жертв. По оценке исследователей, на хакерской сцене такое встречается довольно редко.
Действовали злоумышленники максимально скрытно, сводя риск обнаружения к минимуму. Основным инструментом атаки были тщательно составленные фишинговые письма, составленные под конкретную команду внутри компании-жертвы. Чаще всего применялись письма, в которых HR-отдел якобы оповещал о чем-то сотрудников — например (чтобы усыпить их бдительность) о выплате премии.
Получив доступ к компьютеру в корпоративной сети хакеры из RedCurl сканировали доступные с этой машины внутренние ресурсы компании в поисках интересующих их документов, параллельно с этим по цепочке заражая другие компьютеры поддельными файлами.
"Частота атак говорит о том, что, вероятнее всего, они получит дальнейшее распространение, — сообщили в компании. — На данный момент Group-IB продолжает фиксировать новые атаки RedCurl в разных странах мира". 14 компаний, ставших жертвами корпоративного шпионажа RedCurl (включая 10 в России), уже проинформированы о произошедшем.
