Social media
Rosyjska grupa hakerska RedCurl wraca po ponad półrocznej przerwie
Działająca od listopada 2018 roku rosyjskojęzyczna grupa hakerska RedCurl została powiązana z 30 atakami, których celem było korporacyjne cyberszpiegostwo i kradzież dokumentów, wymierzone w 14 organizacji z sektora budowlanego, finansowego, konsultingowego, detalicznego, ubezpieczeniowego i prawnego znajdujących się w Wielkiej Brytanii, Niemczech, Kanadzie, Norwegii, Rosji i na Ukrainie.
Korporacyjna grupa hakerów zajmujących się cyberszpiegostwem pojawiła się ponownie po siedmiomiesięcznej przerwie z nowymi włamaniami wymierzonymi w cztery firmy w tym roku, w tym jedną z największych hurtowni w Rosji.
Jednocześnie wprowadzili taktyczne ulepszenia swojego zestawu narzędzi, aby udaremnić analizę sytuacyjną - podaje Ravie Lakshmanan na łamach portalu „The Hackers News”.
Nowe techniki oszustw
„W każdym ataku cyberprzestępcy wykazują rozległe umiejętności w zakresie tworzenia czerwonych zespołów (Red Teaming) i zdolności do ominięcia tradycyjnego wykrywania wirusów przy użyciu własnego, niestandardowego złośliwego oprogramowania” – powiedział Ivan Pisarev z Group-IB.
Cyberprzestępcy wykorzystują szereg narzędzi hakerskich do infiltracji swoich celów i kradzieży wewnętrznej dokumentacji korporacyjnej, takiej jak akta pracownicze, akta sądowe i prawne oraz historia poczty e-mail przedsiębiorstwa. Łączny okres od zainfekowania systemów wirusem do kradzieży danych wynosi od dwóch do sześciu miesięcy.
Modus operandi
Sposób działania RedCurl oznacza odejście od państwowej infrastruktury krytycznej na rzecz prywatnych firm i organizacji. Dodatkowo grupa RedCurl nie wdraża backdoorów, ani nie polega na narzędziach post-eksploatacyjnych, takich jak CobaltStrike i Meterpreter, które są postrzegane jako typowe metody zdalnego sterowania zhakowanymi urządzeniami.
„W większości przypadków, takie ataki są wymierzone w inne państwa lub przedsiębiorstwa państwowe. Korporacyjne cyberszpiegostwo jest wciąż stosunkowo rzadkie i pod wieloma względami wyjątkowe. Jednak możliwe jest, że sukces grupy może doprowadzić do nowego trendu w cyberprzestępczości” – podkreśliła grupa badaczy.
Nie zaobserwowano jednak, by grupa przeprowadzała ataki motywowane zyskiem finansowym i polegające na szyfrowaniu infrastruktury ofiary lub żądaniu okupu za skradzione dane.
„Szpiegostwo w cyberprzestrzeni jest znakiem rozpoznawczym sponsorowanych przez państwo, zaawansowanych trwałych zagrożeń” – stwierdzili naukowcy.
Autor: Aleksander Mazur
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.
