0
0
Pesquisadores de segurança descobriram um novo grupo de ameaças persistentes avançadas que vem atacando empresas globais desde 2018
Pesquisadores de segurança descobriram um novo grupo de ameaças persistentes avançadas (APTs) responsável por pelo menos 26 ataques de espionagem corporativa direcionados a empresas globais desde 2018. Apelidado de RedCurl, o grupo teria roubado documentos corporativos confidenciais, incluindo contratos, documentos financeiros, registros de funcionários e registros legais, de acordo com um relatório publicado na quinta-feira, 13, pela empresa de segurança Group-IB.
Segundo o documento, entre as vítimas do grupo estão uma variedade de setores, incluindo construção, finanças, varejo e direito, em países como Rússia, Ucrânia, Reino Unido, Canadá, Alemanha e Noruega, dos que foram detectados até agora.
Os pesquisadores do Group-IB observam que o RedCurl utiliza técnicas de hacking semelhantes às dos grupos conhecidos como RedOctober e CloudAtlas, outro grupo de origem russa que tem como alvo várias entidades e redes governamentais “principalmente na Rússia”, de acordo com o banco de dados de grupos de hackers do MITER Corp. A fornecedora de segurança russa Kaspersky já havia publicado anteriormente suas próprias descobertas sobre RedOctober e CloudAtlas, e o Group-IB agora sugere que o foco da RedCurl usa táticas semelhantes, o que “pode indicar que o grupo é uma continuação dos ataques anteriores”.
Normalmente, os hackers procuram se passar por membros da equipe de recursos humanos da organização vítima, enviando e-mails prometendo bônus aos funcionários de um mesmo departamento em uma tentativa de enfraquecer suas defesas. Um e-mail de phishing contra o departamento de RH serviria como o ponto inicial de infecção, dando aos invasores um ponto de partida para o restante da organização.
O Group-IB não faz nenhuma indicação sobre a possível sede do RedCurl. O fato de o grupo usar o idioma russo, como observam os pesquisadores, não dá para deduzir que seja um grupo de hackers baseado na Rússia. Os grupos de hackers baseados naquele país normalmente não têm como objetivo fazer vítimas dentro da Rússia, em parte para evitar antagonizar com as agências de inteligência do país.
“Para os operadores do RedCurl não faz diferença atacar um banco russo ou uma empresa de consultoria no Canadá”, disse Rustam Mirkasymov, chefe da equipe de análise dinâmica de malware do Group-IB, em um comunicado por e-mail. “Esses grupos se concentram na espionagem corporativa e empregam várias técnicas para encobrir suas atividades, incluindo o uso de ferramentas legítimas que são difíceis de detectar.”
Nesse caso, o grupo explora o PowerShell da Microsoft para inserir seus próprios scripts de software malicioso. Em seguida, os hackers geralmente passam de dois a seis meses dentro de uma rede violada, coletando nomes de usuário, senhas e outros dados confidenciais enquanto tentam evitar a detecção. O Group-IB não divulgou os nomes das vítimas em seu relatório.
FONTE: CISO ADVISOR