Group-IB сообщила о русскоязычной хакерской группе, занимающейся корпоративным шпионажем

Ранее неизвестная хакерская группировка RedCurl менее чем за три года совершила десятки атак на компьютеры организаций для получения секретных данных. Как сообщила «Ленте.ру» специализирующаяся на кибербезопасности компания Group-IB, группу опасных русскоговорящих киберпреступников удалось раскрыть, несмотря на их попытки максимально скрытно вести деятельность.

По данным специалистов, члены RedCurl специализируются на корпоративном шпионаже и активны как минимум с 2018 года. За это время группа совершила 26 атак исключительно на коммерческие организации. Это тщательно спланированные операции на компании различных отраслей.

Их цель при атаках — получение документов с коммерческой тайной и персональными данными сотрудников. Среди жертв компании из России, Украины, Великобритании, Германии, Канады и Норвегии. Некоторых атаковали больше одного раза.

Взлом осуществляется с помощью фишинговых писем, стилизованных под достоверные. Хакеры детально изучают инфраструктуру жертвы. Каждое письмо составляется под конкретную команду сотрудников компании и чаще всего это письма от имени HR-департамента, высылаемые сразу нескольким пользователям.

В письмах существуют ссылки. Они замаскированы так, чтобы пользователь не заметил установку трояна. В случае успешной операции хакеры получали доступ к файлам на рабочем компьютере. Также злоумышленников интересовали учетные данные электронной почты.

Группа действовала максимально скрытно: все взаимодействие проводилось через легитимные облачные хранилища. Это позволяет RedCurl оставаться невидимыми для традиционных средств защиты. По мнению Group-IB, это также может свидетельствовать о заказном характере атак с целью недобросовестной конкуренции.

Источник: https://lenta.ru

В данной статье мы постарались собрать все основные и актуальные новости из СМИ о данном событии.

Группа по найму: RedCurl искусно занимается корпоративным кибершпионажем

Специалисты компании Group-IB в подробностях рассказали об операциях кибергруппировки RedCurl, занимающейся корпоративным шпионажем. Злоумышленников интересует коммерческая тайна конкурентов заказчика, а также персональные данные сотрудников.

По данным Group-IB, группировка состоит из русскоговорящих киберпреступников. За три года деятельности жертвами RedCurl стали десятки организаций — от России до Северной Америки.

Подход группы отличается тщательным планированием атак и использованием набора уникальных инструментов.

Точкой отсчёта принято считать 2018 год — именно тогда, по мнению экспертов, RedCurl начала свои операции. За два года группировка провела 26 целевых атак, жертвами которых стали коммерческие организации.

Причём злоумышленников интересовала не только финансовая сфера, но и компании из области ритейла, страхования, консалтинга и туризма. Отследить какую-либо географическую последовательность атак специалистам не удалось, жертвы RedCurl располагались в России, Украине, Великобритании, Германии, Канаде и даже Норвегии.

Анализ операций группировки показал, что хакеры действовали максимально незаметно, стараясь минимизировать риск обнаружения в сети атакованной организации.

Преступники преследовали одну цель — конфиденциальные корпоративные документы. Их интересовали контракты, финансовая документация, личные дела сотрудников, судебные дела и тому подобное.

Специалисты Group-IB считают, что такая форма атак может свидетельствовать о заказном характере. Скажем, конкурент нанимает RedCurl для коммерческого шпионажа.

Операторам группы удалось даже взломать сотрудника одной из компаний, занимающегося непосредственно информационной безопасностью и защищающего клиентов от подобных атак.

Исследователи отметили профессионализм киберпреступников по части подготовки фишинговых писем. Как правило, такая рассылка выглядела очень убедительно: имелась подпись, логотип и поддельное доменное имя компании. Group-IB даже усмотрели схожесть подхода кибергруппы с социотехническими атаками специалистов по пентесту.

Для доставки вредоносной составляющей на компьютер жертвы RedCurl использует архивы, размещённые на легитимных облачных хранилищах. Ссылки на эти архивы доставляются в фишинговых письмах.

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Читайте также

/news/2020-08-13-111332/33394

Команда исследователей раскрыла подробности новой уязвимости в протоколе Voice over LTE (VoLTE). В руках злоумышленника эта брешь может привести к взлому шифрования 4G-звонков.

Этот вектор атаки специалисты Рурского университета в Бохуме назвали ReVoLTE, он существует из-за практик операторов сотовой связи, которые часто используют один ключ шифрования для защиты множества 4G-звонков в пределах одной вышки.

Как сообщили эксперты, им уже удалось протестировать ReVoLTE в реальных условиях. В результате выяснилось, что уязвимость затрагивает многих операторов.

Известно, что для голосовых коммуникаций в сетях 4G используется протокол VoLTE, поддерживающий зашифрованные звонки. Для каждого такого звонка оператор связи должен выбрать ключ шифрования. В идеале в каждом отдельном случае должен быть уникальный ключ.

Однако сотрудники Рурского университета в Бохуме выяснили, что не все операторы добросовестно следуют рекомендациям стандарта 4G. В частности, одним ключом шифрования могут быть защищены сразу несколько звонков.

Как правило, эта проблема проявляется на уровне вышки сотовой связи, которая в большинстве случаев повторно использует ключ шифрования.

Если переводить эксплуатацию этой уязвимости на реальную атаку, то злоумышленнику удастся записать разговор двух абонентов, использующих для связи 4G. Потом, чтобы зафиксировать ключ шифрования, атакующий сам осуществит вызов. И позже преступник сможет расшифровать общение с помощью того же ключа шифрования.

Демонстрация эксплуатации вектора атаки ReVoLTE доступна на видео ниже:

Исследователи сообщили о проблеме безопасности операторам и представителям GSMA. Также специалисты опубликовали Android-приложение, с помощью которого операторы сотовой связи смогут проверить, уязвимы ли их вышки перед ReVoLTE.

Технические детали атаки доступны здесь.

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Свидетельство о регистрации СМИ ЭЛ № ФС 77 — 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

Источник: https://www.anti-malware.ru

Group-IB раскрыла русскоязычных хакеров, похищающих корпоративные данные по всему миру — Экономика и бизнес — ТАСС

МОСКВА, 13 августа. /ТАСС/. Международная компания Group-IB рассказала о ранее неизвестной, преимущественно русскоязычной, хакерской группе RedCurl, которая за три года атаковала десятки компаний по всему миру, похищая важные корпоративные данные. Об этом ТАСС сообщили в Group-IB.

"Группа RedCurl, обнаруженная экспертами Group-IB Threat Intelligence, активна как минимум с 2018 года. За это время она совершила 26 целевых атак исключительно на коммерческие организации. Среди них строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические и туристические организации. RedCurl не имеет четкой географической привязки к какому-либо региону: ее жертвы располагались в России, Украине, Великобритании, Германии, Канаде и Норвегии", — отметили в компании.

По словам экспертов, хакеры действуют максимально скрытно, чтобы минимизировать риск обнаружения. Главная цель RedCurl — кража конфиденциальных корпоративных документов: контрактов, финансовой документации, личных дел сотрудников, документов по судебным делам, по строительству объектов и других. "Все это может свидетельствовать о заказном характере атак RedCurl с целью недобросовестной конкуренции", — уверены в Group-IB.

Для атаки на компании хакеры в первую очередь используют тщательно проработанные, максимально качественно составленные фишинговые письма, которые составлялись не просто под организацию-жертву, а под конкретную команду внутри нее. Чаще всего мошенники направляют свои письма от имени HR-департамента, а атака, как правило, идет на нескольких сотрудников одного отдела, чтобы снизить их бдительность, рассылая, например, информацию о ежегодном премировании.

Оказавшись в сети, хакеры сканируют список папок и офисных документов, доступных с зараженной машины, а данные о них отправляются на облако, где оператор RedCurl решает, какие папки и файлы выгрузить. Параллельно с этим хакеры продолжают цепочку заражений компьютеров, находящихся в одной сети, через распространение поддельных файлов.

"Цель атакующих — документы, представляющие коммерческую тайну и содержащие персональные данные сотрудников. Корпоративный шпионаж в целях конкурентной борьбы — редкое явление на хакерской сцене, однако частота атак говорит о том, что, вероятнее всего, оно получит дальнейшее распространение. На данный момент Group-IB продолжает фиксировать новые атаки RedCurl в разных странах мира", — заключили эксперты.

Источник: https://tass.ru

Эксперты обнаружили кибератаки через письма о премиях из отделов кадров

Хакерская группа RedCurl взламывала компании по всему миру и похищала корпоративные документы. Ущерб от ее деятельности может составлять десятки миллионов долларов

Специализирующаяся на кибербезопасности компания Group-IB раскрыла ранее неизвестную хакерскую группировку, которая занималась корпоративным шпионажем, рассказали РБК в пресс-службе компании.

Хакерская группа RedCurl менее чем за три года совершила по меньшей мере 26 целевых кибератак на коммерческие организации в России и на Украине, а также в Великобритании, Германии, Канаде и Норвегии. Пострадали 14 компаний, на некоторые из них атаки совершались неоднократно. Это строительные, финансовые, консалтинговые компании, ретейлеры, банки, страховые, юридические и туристические организации, установили в Group-IB.

Группировка предположительно состоит из русскоговорящих хакеров. В Group-IB отмечают, что корпоративный шпионаж в целях конкурентной борьбы — довольно редкое явление среди киберпреступников. RedCurl использовала уникальный инструментарий, который позволял ей долгое время оставаться незамеченной для своих жертв.

Первая известная атака хакеров произошла в мае 2018 года. Злоумышленники использовали для доступа к корпоративной информации фишинговые письма. Чаще всего сотрудникам одного отдела компании-жертвы приходило электронное письмо якобы от HR-департамента, например о ежегодных премиях. Ложные письма содержали подпись, логотип, поддельное доменное имя компании, говорится в сообщении.

Источник: https://www.rbc.ru

Group-IB сообщила о русскоязычной хакерской группе, занимающейся корпоративным шпионажем

Group-IB обнаружила ранее неизвестную хакерскую группу RedCurl, предположительно состоящую из русскоговорящих хакеров, сообщили в компании. Группа активна как минимум с 2018 года и за это время совершила 26 целевых атак на коммерческие организации России, Украины, Великобритании, Германии, Канады и Норвегии. Group-IB продолжает фиксировать новые атаки RedCurl в разных странах мира. Как минимум десять жертв группировки — российские организации и компании, имеющие представительства в РФ, отмечают в Group-IB. Специалисты компании идентифицировали 14 жертв шпионажа со стороны RedCurl и связались со всеми пострадавшими организациями.

Группировка RedCurl охотится за документами, представляющими коммерческую тайну, в том числе за контрактами, финансовой документацией, личными делами сотрудников, документами по судебным делам, по строительству объектов, утверждают в Group-IB. Это может свидетельствовать о заказном характере атак RedCurl с целью недобросовестной конкуренции, что является редким явлением на хакерской сцене, считают в компании.

Атаки начинаются с тщательно проработанного фишингового письма, составленного под конкретную команду внутри организации. Одной из вероятных жертв группы стал сотрудник компании, занимающейся информационной безопасностью и предоставляющей клиентам защиту от таких атак, утверждают в Group-IB. Чаще всего атакующие направляли свои письма от имени HR-департамента в виде рассылки по ежегодному премированию. Как правило, атака шла на нескольких сотрудников одного отдела, чтобы снизить их бдительность, рассказывают в компании. Открывая вложение с документом о премировании якобы с официального сайта, пользователь инициировал развертывание трояна, после чего злоумышленники могли проникнуть в целевую систему, получить доступ к папкам и офисным документам, доступным с зараженной машины, и через файлы на сетевых дисках продолжить заражение других машин внутри организации-жертвы. После получения первоначального доступа атакующие находятся в сети жертвы от двух до шести месяцев, отмечают в Group-IB.

Источник: https://www.kommersant.ru

Смотрите видео: Обзор новых угроз ИБ, подробности расследований Group-IB и уязвимостях разных платформ

Оцените статью
Добавить комментарий