Los piratas informáticos de espionaje corporativo de RedCurl regresan con herramientas de piratería actualizadas
Un grupo de piratería de ciberespionaje corporativo ha resurgido este año después de una pausa de siete meses con nuevos ataques a cuatro empresas, incluida una de las tiendas mayoristas más grandes de Rusia, al tiempo que realiza mejoras tácticas en su conjunto de herramientas para frustrar los análisis.
«En cada ataque, el actor de amenazas demuestra amplias capacidades de creación de equipos rojos y la capacidad de eludir la detección antivirus tradicional con su propio malware personalizado», dijo Ivan Pisarev de Group-IB.
El grupo de hackers de habla rusa RedCurl ha estado activo desde al menos noviembre de 2018 y hasta ahora ha estado vinculado a 30 ataques de ciberespionaje corporativo y robo de documentos dirigidos a 14 organizaciones de construcción, finanzas, consultoría, venta minorista, seguros y legales, y está ubicado en el Reino Unido. , Alemania, Canadá, Noruega, Rusia y Ucrania.
El actor de amenazas utiliza una variedad de herramientas de piratería bien establecidas para infiltrarse en sus objetivos y robar documentos internos de la empresa, como archivos de personal, archivos judiciales y legales, e historial de correo electrónico de la empresa, en el momento en que los datos son realmente robados.
Modus Operandi de RedCurl se destaca de otros adversarios, sobre todo porque no utiliza puertas traseras ni se basa en herramientas posteriores a la explotación como CobaltStrike y Meterpreter, que se consideran métodos típicos para controlar de forma remota los dispositivos comprometidos. Además, a pesar de su acceso arraigado, no se vio al grupo llevando a cabo ataques destinados a obtener ganancias financieras que incluían cifrar la infraestructura de la víctima o exigir un rescate por los datos robados.
Más bien, el enfoque parece estar en obtener información valiosa lo más secretamente posible a través de una combinación de programas autodesarrollados y disponibles públicamente con el fin de obtener acceso inicial con medios de ingeniería social, buscar aclaraciones, lograr persistencia, moverse hacia los lados y avanzar. filtrar documentación sensible.
«El espionaje en el ciberespacio es un sello distintivo de las amenazas avanzadas persistentes patrocinadas por el estado», dicen los investigadores. “En la mayoría de los casos, estos ataques están dirigidos a otros estados o empresas estatales. El ciberespionaje corporativo sigue siendo un evento relativamente raro y, en muchos sentidos, único. Sin embargo, es posible que el éxito de la empresa conduzca a una nueva tendencia en el ciberdelito ”.
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
