Los piratas informáticos espías corporativos de RedCurl están de vuelta con herramientas de piratería actualizadas

Un grupo de piratas informáticos corporativos que tenían como objetivo el espionaje cibernético reapareció después de una pausa de siete meses con nuevas intrusiones dirigidas a cuatro empresas, incluida una de las tiendas mayoristas más grandes de Rusia, mientras realizaba mejoras tácticas en su conjunto de herramientas en un intento por frustrar el análisis.

«Con cada ataque, el actor de amenazas demuestra amplias habilidades de equipo rojo y la capacidad de eludir la detección antivirus tradicional con su propio malware», dijo Ivan Pisarev de Group-IB.

El grupo de hackers de habla rusa RedCurl, que ha estado activo desde al menos noviembre de 2018, ha sido vinculado hasta ahora a 30 ataques de ciberespionaje corporativo y robo de documentos dirigidos a 14 organizaciones en los sectores de la construcción, finanzas, consultoría, comercio minorista, seguros y legal. . y está ubicada en el Reino Unido, Alemania, Canadá, Noruega, Rusia y Ucrania.

La amenaza utiliza una serie de herramientas de piratería establecidas para infiltrarse en sus objetivos y robar documentación interna de la empresa, como registros de empleados, registros judiciales y judiciales, e historial de correo electrónico corporativo, con un gasto colectivo de dos a seis meses desde la infección inicial hasta los datos de tiempo en realidad. siendo alienado.

Modus operandi RedCurl significa una desviación de otros adversarios, sobre todo porque no despliega puertas traseras ni depende de herramientas posteriores a la explotación como CobaltStrike y Meterpreter, los cuales se consideran métodos típicos de control remoto de dispositivos atacados. Además, a pesar de mantener un enfoque arraigado, no se observó que el grupo llevara a cabo ataques motivados por ganancias financieras e implicaran cifrar la infraestructura de las víctimas o exigir un rescate por los datos robados.

Más bien, el énfasis parece estar en obtener información valiosa de la manera más encubierta posible a través de una combinación de programas desarrollados por ellos mismos y disponibles públicamente para obtener acceso inicial a través de ingeniería social, investigación, resistencia, movimiento lateral y exfiltración de documentación confidencial.

«El espionaje en el ciberespacio es un sello distintivo de las amenazas persistentes avanzadas patrocinadas por el estado», dijeron los investigadores. «En la mayoría de los casos, tales ataques tienen como objetivo otros estados o empresas estatales. El espionaje cibernético corporativo todavía es relativamente raro y, en muchos sentidos, único. Sin embargo, es posible que el éxito del grupo pueda conducir a una nueva tendencia en el delito cibernético».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática