in

Los piratas informáticos de espionaje corporativo de RedCurl regresan con herramientas de piratería actualizadas


Un grupo de piratería de ciberespionaje corporativo ha resurgido este año después de una pausa de siete meses con nuevos ataques a cuatro empresas, incluida una de las tiendas mayoristas más grandes de Rusia, al tiempo que realiza mejoras tácticas en su conjunto de herramientas para frustrar los análisis.

«En cada ataque, el actor de amenazas demuestra amplias capacidades de creación de equipos rojos y la capacidad de eludir la detección antivirus tradicional con su propio malware personalizado», dijo Ivan Pisarev de Group-IB.

Copias de seguridad automáticas de GitHub

El grupo de hackers de habla rusa RedCurl ha estado activo desde al menos noviembre de 2018 y hasta ahora ha estado vinculado a 30 ataques de ciberespionaje corporativo y robo de documentos dirigidos a 14 organizaciones de construcción, finanzas, consultoría, venta minorista, seguros y legales, y está ubicado en el Reino Unido. , Alemania, Canadá, Noruega, Rusia y Ucrania.

El actor de amenazas utiliza una variedad de herramientas de piratería bien establecidas para infiltrarse en sus objetivos y robar documentos internos de la empresa, como archivos de personal, archivos judiciales y legales, e historial de correo electrónico de la empresa, en el momento en que los datos son realmente robados.

Modus Operandi de RedCurl se destaca de otros adversarios, sobre todo porque no utiliza puertas traseras ni se basa en herramientas posteriores a la explotación como CobaltStrike y Meterpreter, que se consideran métodos típicos para controlar de forma remota los dispositivos comprometidos. Además, a pesar de su acceso arraigado, no se vio al grupo llevando a cabo ataques destinados a obtener ganancias financieras que incluían cifrar la infraestructura de la víctima o exigir un rescate por los datos robados.

Prevenir filtraciones de datos

Más bien, el enfoque parece estar en obtener información valiosa lo más secretamente posible a través de una combinación de programas autodesarrollados y disponibles públicamente con el fin de obtener acceso inicial con medios de ingeniería social, buscar aclaraciones, lograr persistencia, moverse hacia los lados y avanzar. filtrar documentación sensible.

«El espionaje en el ciberespacio es un sello distintivo de las amenazas avanzadas persistentes patrocinadas por el estado», dicen los investigadores. “En la mayoría de los casos, estos ataques están dirigidos a otros estados o empresas estatales. El ciberespionaje corporativo sigue siendo un evento relativamente raro y, en muchos sentidos, único. Sin embargo, es posible que el éxito de la empresa conduzca a una nueva tendencia en el ciberdelito ”.



What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Hackers norcoreanos encontrados detrás de una serie de campañas de robo de credenciales

Servidor de Microsoft Exchange pirateado durante ataques de cadena de respuesta interna