USD 73.98₽
EUR 80.54₽

Новая киберугроза. Хакеры RedCurl действуют в области коммерческого шпионажа.

18 ноября 2021

Эксперты кибербезопасности зафиксировали очередную киберугрозу для бизнес-структур. Хакеры RedCurl шпионят за компаниями, их действия не типичны для большинства других сетевых мошенников. Недавно атаке группировки подвергся крупный российский ретейлер. С подробностями Игорь Прусаков.

С 2018 по 2020 годы специалисты фиксировали 26 нападений на бизнес со стороны RedCurl. От её действий пострадали 14 организаций. Русскоязычная группировка занимается коммерческим шпионажем, например, кражей корпоративной документации. При этом компании-жертвы находятся в разных странах (в России, на Украине, в Германии, Канаде, Великобритании и Норвегии) и работают в разных коммерческих сферах. Это строительные, страховые, финансовые, консалтинговые и юридические организации, а также ретейлеры.

В 2021, после многомесячного затишья, эксперты киберзащиты снова заметили «работу» этих хакеров. С начала года RedCurl атаковала четырежды, причём два нападения совершались против одной из крупнейших российских компаний на рынке оптовой и розничной онлайн-торговли.

Как правило, RedCurl начинает свои действия с отправки фишинговых емэйлов о премировании сотрудников от отдела кадров. Однако во время последних нападений рассылка происходила от имени государственного портала с темой о возбуждении некого «исполнительного производства».

После заражения компьютера жертвы, хакеры подолгу, от двух месяцев до полугода, собирают информацию о системе пользователя. Их интересует список сетевых и логических дисков, пароли, версия и название операционной системы. Собранная информация фиксируется в отдельном файле, причём время сохранения файла корректируется с учётом часового пояса Минска.

В Group-IB отмечают особенности действий взломщиков. Например, хакеры не используют распространённые средства для удалённого контроля заражённых устройств. Они не совершают привычные для кибермошенников преступления: не шифруют информационные структуры, чтобы затем потребовать за них выкуп и не воруют средства со счетов организации.

По мнению экспертов это указывает на то, что RedCurl за свою деятельность получает вознаграждение из других источников и основная задача группировки - незаметно добыть ценные сведения. Такой информацией может быть деловая переписка, документация по судебным делам или личные дела сотрудников.

Напомним, в 2021 году многие российские компании, как правило, малого и среднего бизнеса, стали платить выкупы кибермошенникам, чтобы вернуть доступ к собственным данным. Ещё пару лет назад отечественный бизнес на такое не шёл категорически. Эксперты связывают ситуацию с появлением множества вирусов-шифровальщиков и упрощением монетизации незаконно полученных средств.

Игорь Прусаков.

Популярные