Clicky

Los hackers de RedCurl regresan con herramientas de piratería actualizadas

Hackers RedCurl

Sus ataques tienen como objetivo otros estados o empresas estatales

Un grupo de piratas informáticos de ciberespionaje corporativo ha resurgido después de una pausa de siete meses con nuevas intrusiones dirigidas a cuatro empresas este año, incluida una de las tiendas mayoristas más grandes de Rusia, al mismo tiempo que realiza mejoras tácticas en su conjunto de herramientas en un intento de frustrar el análisis.

"En cada ataque, el actor de amenazas demuestra amplias habilidades de equipo rojo y la capacidad de eludir la detección de antivirus tradicional utilizando su propio malware personalizado", dijo Ivan Pisarev de Group-IB.

Activo desde al menos noviembre de 2018, hasta la fecha el grupo de piratería RedCurl de habla rusa ha estado vinculado a 30 ataques con el objetivo de ciberespionaje corporativo y robo de documentos dirigido a 14 organizaciones que abarcan la construcción, sectores de finanzas, consultoría, comercio minorista, seguros y legal, ubicados en el Reino Unido, Alemania, Canadá, Noruega, Rusia y Ucrania.

El actor de amenazas utiliza una variedad de herramientas de piratería establecidas para infiltrarse en sus objetivos y robar documentación corporativa interna, como registros del personal, archivos judiciales y legales, e historial de correo electrónico empresarial, con el gasto colectivo entre dos y seis meses entre la infección inicial y el momento en que los datos son realmente robados.

RedCurl esquema

El modus operandi de RedCurl marca una desviación de otros adversarios, sobre todo porque no implementa puertas traseras ni depende de herramientas posteriores a la explotación como CobaltStrike y Meterpreter, que se consideran métodos típicos para controlar de forma remota los dispositivos comprometidos.

Es más, a pesar de mantener un acceso arraigado, no se ha observado que el grupo lleve a cabo ataques motivados por ganancias financieras e impliquen cifrar la infraestructura de la víctima o exigir rescates por datos robados.

Más bien, el énfasis parece estar en obtener valiosa información de la manera más encubierta posible utilizando una combinación de programas de desarrollo propio y disponibles públicamente para obtener acceso inicial utilizando medios de ingeniería social, realizar reconocimiento, lograr persistencia, moverse lateralmente y exfiltrar documentación sensible.

"El espionaje en el ciberespacio es un sello distintivo de las amenazas persistentes avanzadas patrocinadas por el estado", dijeron los investigadores. "En la mayoría de los casos, estos ataques tienen como objetivo otros estados o empresas estatales. El ciberespionaje corporativo sigue siendo un hecho relativamente raro y, en muchos sentidos, único. Sin embargo, es posible que el éxito del grupo conduzca a una nueva tendencia en el ciberdelito".

Jesus_Caceres