«Группа RedCurl, обнаруженная экспертами Group-IB Threat Intelligence, активна как минимум с 2018 года. За это время она совершила 26 целевых атак исключительно на коммерческие организации. Среди них строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические и туристические организации. RedCurl не имеет четкой географической привязки к какому-либо региону: ее жертвы располагались в России, Украине, Великобритании, Германии, Канаде и Норвегии», – передает ТАСС сообщение компании.
По словам экспертов, хакеры действуют максимально скрытно, чтобы минимизировать риск обнаружения. Главная цель RedCurl – кража конфиденциальных корпоративных документов: контрактов, финансовой документации, личных дел сотрудников, документов по судебным делам, по строительству объектов и других. «Все это может свидетельствовать о заказном характере атак RedCurl с целью недобросовестной конкуренции», – уверены в Group-IB.
Для атаки на компании хакеры в первую очередь используют тщательно проработанные, максимально качественно составленные фишинговые письма, которые составлялись не просто под организацию-жертву, а под конкретную команду внутри нее. Чаще всего мошенники направляют свои письма от имени HR-департамента, а атака, как правило, идет на нескольких сотрудников одного отдела, чтобы снизить их бдительность, рассылая, например, информацию о ежегодном премировании.
Оказавшись в сети, хакеры сканируют список папок и офисных документов, доступных с зараженной машины, а данные о них отправляются на облако, где оператор RedCurl решает, какие папки и файлы выгрузить. Параллельно с этим хакеры продолжают цепочку заражений компьютеров, находящихся в одной сети, через распространение поддельных файлов.
«Цель атакующих – документы, представляющие коммерческую тайну и содержащие персональные данные сотрудников. Корпоративный шпионаж в целях конкурентной борьбы – редкое явление на хакерской сцене, однако частота атак говорит о том, что, вероятнее всего, оно получит дальнейшее распространение. На данный момент Group-IB продолжает фиксировать новые атаки RedCurl в разных странах мира», – заключили эксперты.
Напомним, в апреле Group-IB сообщила о рассылке от мошенников, которые пишут письма якобы от Федеральной службы исполнения наказаний, в которых жертвам предлагается заплатить штраф за нарушение самоизоляции.