Group-IB обнаружила ранее неизвестную хакерскую группу RedCurl, предположительно состоящую из русскоговорящих хакеров, сообщили в компании. Группа активна как минимум с 2018 года и за это время совершила 26 целевых атак на коммерческие организации России, Украины, Великобритании, Германии, Канады и Норвегии. Group-IB продолжает фиксировать новые атаки RedCurl в разных странах мира. Как минимум десять жертв группировки — российские организации и компании, имеющие представительства в РФ, отмечают в Group-IB. Специалисты компании идентифицировали 14 жертв шпионажа со стороны RedCurl и связались со всеми пострадавшими организациями.
Группировка RedCurl охотится за документами, представляющими коммерческую тайну, в том числе за контрактами, финансовой документацией, личными делами сотрудников, документами по судебным делам, по строительству объектов, утверждают в Group-IB. Это может свидетельствовать о заказном характере атак RedCurl с целью недобросовестной конкуренции, что является редким явлением на хакерской сцене, считают в компании.
Атаки начинаются с тщательно проработанного фишингового письма, составленного под конкретную команду внутри организации. Одной из вероятных жертв группы стал сотрудник компании, занимающейся информационной безопасностью и предоставляющей клиентам защиту от таких атак, утверждают в Group-IB. Чаще всего атакующие направляли свои письма от имени HR-департамента в виде рассылки по ежегодному премированию. Как правило, атака шла на нескольких сотрудников одного отдела, чтобы снизить их бдительность, рассказывают в компании. Открывая вложение с документом о премировании якобы с официального сайта, пользователь инициировал развертывание трояна, после чего злоумышленники могли проникнуть в целевую систему, получить доступ к папкам и офисным документам, доступным с зараженной машины, и через файлы на сетевых дисках продолжить заражение других машин внутри организации-жертвы. После получения первоначального доступа атакующие находятся в сети жертвы от двух до шести месяцев, отмечают в Group-IB.