Эксперты обнаружили кибератаки через письма о премиях из отделов кадров

Специализирующаяся на кибербезопасности международная компания Group-IB раскрыла ранее неизвестную хакерскую группировку, которая занималась корпоративным шпионажем. Об этом говорится в сообщении компании, поступившем в РБК.

Хакерская группа RedCurl менее чем за три года совершила, по меньшей мере, 26 целевых кибератак на коммерческие организации в России, Украине, Великобритании, Германии, Канаде и Норвегии. Пострадали 14 компаний, на несколько из них атаки совершались неоднократно. Среди них строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические и туристические организации, установили в Group-IB.

Группировка, предположительно, состоит из русскоговорящих хакеров. В Group-IB отмечают, что корпоративный шпионаж в целях конкурентной борьбы является достаточно редким явлением среди киберпреступников. RedCurl использовала уникальный инструментарий, который позволял ей долгое время оставаться незамеченной для своих жертв.

Первая известная атака хакеров произошла в мае 2018 года. Злоумышленники использовали для доступа к корпоративной информации фишинговые письма. Чаще всего сотрудникам одного отдела компании-жертвы приходило электронное письмо якобы от HR-департамента — например, в нем говорилось о ежегодных премиях. Ложные письма содержали подпись, логотип, поддельное доменное имя компании, говорится в сообщении.

При открытии вложенных в письма документов о премировании, на компьютере жертвы запускался троян, который контролировался RedCurl через легитимные облачные хранилища. Их использование, а также использование при разработке троянов языка PowerShell позволяло хакерам долгое время оставаться незамеченными для традиционных средств киберзащиты.

После этого злоумышленники анализировали содержимое жестких дисков пользователей и крали информацию. Прежде всего, их интересовали деловые переписки, представляющие коммерческую тайну документы, персональные данные сотрудников, их пароли.

При этом запущенные трояны продолжали распространяться внутри сети жертвы, заражая все больше компьютеров. Специалисты Group-IB обнаружили, что хакеры оставались в сети своих жертв от двух месяцев до полугода. По словам руководителя отдела динамического анализа вредоносного кода компании Group-IB Рустама Миркасымова, несмотря на отсутствие прямого финансового ущерба, косвенные потери компаний-жертв от действий RedCurl могут исчисляться десятками миллионов долларов.

Эксперты продолжают фиксировать новые атаки хакерской группы в разных странах мира.

В августе Reuters сообщало, что британские власти подозревают российских хакеров во взломе почты бывшего министра торговли страны Лиама Фокса. По данным агентства, в результате кибератак в 2019 году были украдены секретные документы о торговом соглашении между Лондоном и Вашингтоном.

Михаил КОТЛЯР