По информации F.A.С.С.T. (ранее известной как Group-IB), хакерская группа RedCurl провела успешную атаку на крупный российский банк в мае 2023 года. Они использовали компанию-подрядчика для проникновения в систему банка и получения доступа к внутренним документам.
В ноябре 2022 года хакеры предприняли свою первую попытку взлома банка (название не разглашается) путем отправки фишинговых писем с вредоносным программным обеспечением на электронные адреса сотрудников банка. В своих сообщениях злоумышленники маскировались под сообщения от популярного маркетплейса, обещая скидку в 25% на все товары. Благодаря системе безопасности банка, вредоносные письма были обнаружены и блокированы до того, как они смогли навредить адресатам.
В мае текущего года хакерская группировка решила использовать тактику «атаки на цепочку поставок» для проникновения в IT-инфраструктуру банка. Это означает, что атака была направлена на сторонних поставщиков, чьи системы безопасности могут быть менее надежными. Предположительно, в этой новой атаке использовалось фишинговое письмо, отмечается в отчете от F.A.С.С.T.
В результате успешной атаки злоумышленники смогли получить доступ к компьютеру, используемому сотрудником компании-подрядчика. Через этот компьютер им удалось проникнуть в общую сетевую папку, где находится значительное количество финансовых документов банка. В отчете указывается, что хакеры внедрили вредоносные файлы в эту папку. Впоследствии, сотрудник банка запустил эти файлы, что снова предоставило хакерам доступ к инфраструктуре банка.
Глава компании F.A.C.C.T. Валерий Баулин раскрыл подробности инцидента, произошедшего примерно месяц назад, когда банк обратился за помощью. Благодаря этому, была раскрыта схема атаки через поставщика.
По словам Баулина, до сих пор нет никаких подтверждений о том, что внутренние документы были украдены. Тем не менее, группировка RedCurl явно заинтересована в документах, содержащих коммерческую тайну или личные данные сотрудников. Глава компании отмечает, что если финансовая или личная информация попала в руки злоумышленников, то причиненный ущерб может быть не так заметен, как при краже коммерческой информации в рамках кибершпионажа, сообщает издание «Ведомости» со ссылкой на технический отчет представленный F.A.C.C.T. (предыдущее название - Group-IB) и их представителя.