Ранее неизвестная хакерская группировка RedCurl менее чем за три года совершила десятки атак на компьютеры организаций для получения секретных данных. Как сообщила «Ленте.ру» специализирующаяся на кибербезопасности компания Group-IB, группу опасных русскоговорящих киберпреступников удалось раскрыть, несмотря на их попытки максимально скрытно вести деятельность.
По данным специалистов, члены RedCurl специализируются на корпоративном шпионаже и активны как минимум с 2018 года. За это время группа совершила 26 атак исключительно на коммерческие организации. Это тщательно спланированные операции на компании различных отраслей.
Их цель при атаках — получение документов с коммерческой тайной и персональными данными сотрудников. Среди жертв компании из России, Украины, Великобритании, Германии, Канады и Норвегии. Некоторых атаковали больше одного раза.
Взлом осуществляется с помощью фишинговых писем, стилизованных под достоверные. Хакеры детально изучают инфраструктуру жертвы. Каждое письмо составляется под конкретную команду сотрудников компании и чаще всего это письма от имени HR-департамента, высылаемые сразу нескольким пользователям.
В письмах существуют ссылки. Они замаскированы так, чтобы пользователь не заметил установку трояна. В случае успешной операции хакеры получали доступ к файлам на рабочем компьютере. Также злоумышленников интересовали учетные данные электронной почты.
Группа действовала максимально скрытно: все взаимодействие проводилось через легитимные облачные хранилища. Это позволяет RedCurl оставаться невидимыми для традиционных средств защиты. По мнению Group-IB, это также может свидетельствовать о заказном характере атак с целью недобросовестной конкуренции.