18 ноября 2021

Снова в деле: Group-IB обнаружила атаки на ритейл хакеров RedCurl

Group-IB, один из лидеров в сфере кибербезопасности, обнаружила следы новых атак хакеров RedCurl, занимающихся коммерческим шпионажем и кражей корпоративной документации у компаний из различных отраслей. На этот раз в фокусе группы оказался российский ритейлер, входящий в ТОП-20 крупнейших интернет-магазинов России. Новый аналитический отчет Group-IB «RedCurl. Пробуждение» описывает изменение тактики и инструментов группы, используемых для проникновения в сети компаний, интересующих хакеров или их заказчиков. Всего на счету RedCurl на данный момент 30 атак.

В прошлом году в отчете «RedCurl. Пентест, о котором вы не просили» специалисты Group-IB впервые заявили о том, что ими обнаружена новая русскоязычная группа, получившая имя RedСurl. В период с 2018 — 2020 гг. она совершила 26 атак, при этом команде Group-IB удалось идентифицировать 14 организаций-жертв RedCurl из разных стран и индустрий. Среди ее целей — строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические организации из России, Украины, Великобритании, Германии, Канады и Норвегии. Спустя 7 месяцев — уже в 2021 году — атаки RedСurl возобновились.

Наша система Group-IB Threat Intelligence & Attribution фиксирует появление обновленных инструментов RedCurl: после продолжительного перерыва группа вернулась на арену кибершпионажа. Атакующие показывают глубокие навыки проведения тестов на проникновение, а также разработки вредоносного ПО способного обходить классические антивирусные средства защиты. А значит все большее количество компаний будут попадать в список жертв группы, проводящей таргетированные атаки с целью кражи внутренних документов компаний. Шпионаж в коммерческой сфере остается пока еще редким и во многом уникальным явлением. Однако мы не исключаем, что успех данной группы может задать новый тренд на арене киберпреступлений.

Иван Писарев

Иван Писарев

Руководитель отдела динамического анализа вредоносного кода Group-IB

Атаки оптом и в розницу

С начала 2021 года система киберразведки Group-IB Threat Intelligence & Attribution зафиксировала 4 атаки, в двух из которых идентифицированная жертва располагалась в России и была атакована дважды. Ею стал один из крупнейших российских ритейлеров, специализируются наоптовойирозничнойторговле в интернете. Обнаружив следы атаки, специалисты Group-IB оперативно связались с жертвой, предоставили данные и проконсультировали о необходимыхдействиях для локализации и купирования дальнейшего развития инцидента.

В период затишья группа провела серьезные улучшения своих инструментов для достижения своей главной цели — хорошо подготовленного шпионажа, который может быть раскрыт только высокопрофессиональной командой по кибербезопасности.

Перед атакой RedCurl еще тщательнее исследуют свою жертву: их «фирменным стилем» является отправка фишинговых писем в разные департаменты организации от имени HR-команды. Однако, в новых атаках на ритейл RedCurl пошли еще дальше и осуществили две хорошо подготовленные рассылки — одна была «классической» — от имени HR-департамента организации-жертвы, а вот вторая — уже от имени всем известного госпортала с интригующей темой письма — «Возбуждении исполнительного производства». Естественно, данные письма не имели никакого отношения ни к департаменту по работе с персоналом, ни к госучреждениям.

Из примера фишинговых писем видно, что RedCurl активно использует социальную инженерию — заинтересованные темой премирования, сотрудники, конечно, кликают на указанную ссылку:

После заражения компьютера в сети целевой организации, RedCurl начинают собирать информацию об инфраструктуре жертвы. В первую очередь их интересуют версия и название зараженной системы, список сетевых и логических дисков, а также список паролей. По информации Group-IB Threat Intelligence & Attribution, на стороне сервера похищенная с зараженной машины информация, IP-адрес и время получения запроса сохраняются в отдельный файл. Любопытно, что перед сохранением в файл время корректируется с учетом часового пояса города Минск (UTC+3).

Терпение, только терпение

RedCurl не занимать «терпения» — с момента заражения до кражи данных проходит 2–6 месяцев. Группа не использует классических инструментов постэксплуатации, таких как CobaltStrike или Meterpreter. Также они ни разу не были замечены в использовании стандартных либо общеиспользуемых средств удаленного контроля скомпрометированных устройств. Первоначальное заражение, закрепление на зараженном устройстве, продвижение в сети, кража документов — все это осуществляется за счет самописных и нескольких публичных инструментов. Именно поэтому действия и методы RedCurl все еще остаются уникальными для русскоязычной хакерской сцены.

Group-IB отмечает, что несмотря на высокий уровень контроля сети жертвы, группа не занимается шифрованием ее инфраструктуры, не выводит деньги со счетов, не требует выкуп за украденные данные. То естьне делает ничего, чтобы реализовать стандартные для киберкриминала финансовые амбиции. Как правило, это указывает на то, что группа, получает вознаграждение за свою «работу» из других источников. Ее задача — как можно незаметнее добыть ценные сведения. Прежде всего, RedCurl интересуют: деловая переписка по электронной почте, личные дела сотрудников, документация по различным юридическим лицам, судебным делам и другая внутренняя информация. Даже после окончания атаки жертва может оставаться в неведении, что все ее секреты уже скачаны на сервера RedCurl.

В своем отчете Group-IB приводит ряд рекомендаций, которые необходимо выполнить ИТ-командам и службам безопасности компаний, независимо от их масштаба и профиля деятельности.Для более глубокого понимания техник, тактик и процедур атакующих, которые используют в своих атаках RedCurl отчет содержит матрицу MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge), данные в которой основаны на нашем собственном опыте реагирования и анализа атак группы.

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, расследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре. Центры исследования киберугроз компании находятся на Ближнем Востоке (Дубай), в Азиатско-Тихоокеанском регионе (Сингапур), в Европе (Амстердам) и в России (Москва).

Система сбора данных о киберугрозах Group-IB Threat Intelligence & Attribution признана одной из лучших в мире по версии Gartner, Forrester, и IDC. Решение Group-IB Threat Hunting Framework (ранее — TDS) для проактивного поиска и защиты от сложных и неизвестных киберугроз получило признание ведущего европейского аналитического агентства KuppingerCole Analysts AG, а компания Group-IB вошла в число лидеров рынка в категориях «Product Leader» и «Innovation Leader». Технологии Group-IB по защите от онлайн-мошенничества в интернет-банкинге и сервисах электронной коммерции Fraud Hunting Platform получили признание Gartner, агентство присвоило Group-IB статус надежного поставщика в категории «Решения по выявлению онлайн-мошенничества». Решение Digital Risk Protection для выявления и устранения цифровых рисков, а также противодействия атакам с неправомерным использованием бренда получило престижную премию Innovation Excellence от глобального консалтингового агентства Frost & Sullivan.

В основе технологического лидерства компании и ее возможностей в сфере научных исследований и разработки — 18-летний практический опыт расследования киберпреступлений по всему миру и более 65 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики, департаменте расследований и круглосуточном центре оперативного реагирования CERT-GIB.

Компания является резидентом «Сколково» и Иннополиса. Group-IB — партнер Europol.

Опыт Group-IB в поиске угроз и киберразведке был интегрирован в спектр решений, объединивший чрезвычайно сложное программное и системное обеспечение, с целью мониторинга, обнаружения и предотвращения кибератак.

Миссия Group-IB — защищать наших клиентов в киберпространстве, создавая и используя инновационные продукты и решения.

>

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте