En ny russisktalende hackergruppe under navnet RedCurl har blitt oppdaget. De skal ha hacket selskaper over en periode på tre år. Bedrifter i Norge, Storbritannia, Tyskland, Canada, Ukraina og Russland skal være berørt.
RedCurl skal ha målrettet seg mot selskaper verden over, og skal ha vært ute etter kommersielle hemmeligheter og ansattes personopplysninger. Cybersikkerhetsfirmaet Group-IB har laget en 57-siders rapport hvor aktivitetene til hackergruppen gjennomgås. Group-IB har sporet hackergruppen siden sommeren 2019 da et selskap ble hacket av RedCurl. Siden da har Group-IB identifisert 26 andre RedCurl-angrep, utført mot 14 organisasjoner. Noen av angrepene går tilbake til 2018.
Hackergruppen har ikke gått mot spesifikke organisasjoner kan det se ut til, for listen over bransjer inkluderer reisebyrårer, detaljister, banker, advokatfirmaer og forsikringsselskaper. Landene som er rammet er Norge, Storbritannia, Tyskland, Canada, Ukraina og Russland.
Framgangsmåten skal ha vært at RedCurl sendte ut mailer fra det som så ut til å være fra HR-teamet i bedriften. Mailen skal ha gått ut til mange ansatte samtidig og inneholdt filer som de ansatte måtte laste ned. Filene inneholdt PowerShell-baserte trojanere.
Trojaneren ga RedCurl muligheten til å laste opp filer til eksterne servere, nedlasting av annen skadelig programvare og tilgang til søkesystemet.
RedCurl gjemte seg i hackede nettverk fra to til seks måneder. Gruppen la til filer i nettverkene som forsøkte å infisere andre ansatte. Disse filene var snarveier som erstattet de originale filene, og som gjorde at andre ansatte ble infisert dersom de åpnet filene.
Noen av teknikkene som RedCurl brukte ligner på metoder som hackergruppene RedOctober og CloudAtlas har brukt, men Group-IB mener det ikke er noen stor overlapp mellom disse hackergruppene.