Российский разработчик технологий для борьбы с киберпреступлениями, фиксирует новые атаки хакерской группы RedCurl, специализирующейся на коммерческом шпионаже и краже корпоративной документации.
На этот раз одной из жертв русскоговорящих хакеров стал крупный российский банк — киберпреступники атаковали его дважды: сначала напрямую с помощью таргетированных фишинговых рассылок от имени крупного российского маркетплейса, а затем — через компанию-подрядчика.
Ранее неизвестная группа RedCurl была раскрыта компанией F.A.С.С.T. (экс-Group-IB) в конце 2019 года. Группа, предположительно, состоящая из русскоговорящих хакеров, привлекла внимание экспертов тем, что проводила тщательно спланированные атаки на частные компании из различных отраслей, используя уникальный инструментарий.
По данным F.A.C.C.T., за четыре с половиной года RedCurl атаковала 34 цели: 20 из них — в России, остальные — в Великобритании, Германии, Канаде, Норвегии, Австралии и на Украине. Среди жертв были строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические организации. С момента заражения до кражи данных RedCurl проводит в сети жертвы от 2 до 6 месяцев.
Новое исследование F.A.С.С.T. раскрывает атаки RedCurl в ноябре 2022 и в мае 2023 года. В обеих кампаниях первоначальным вектором проникновения в инфраструктуру организации стали рассылки фишинговых писем с вредоносным программным обеспечением. На этот раз в своих сообщениях-приманках злоумышленники использовали бренд популярного маркетплейса — получателям письма и членам их семей обещали корпоративную скидку 25% на все товары.
Целью ноябрьской атаки оказался крупный российский банк из перечня системно значимых кредитных организаций. Киберпреступная группа сделала вредоносную рассылку, но вредоносные письма были обнаружены, заблокированы и не попали к адресатам благодаря решению для автоматизированной защиты электронной почты, которое было установлено в инфраструктуре финансовой организации.
После неудачи хакеры из RedCurl переключились на подрядчика банка, использовав тактику атаки на поставщика. Получив доступ к компьютеру сотрудника организации-подрядчика, предположительно, через фишинговую рассылку, киберпреступники смогли проникнуть на общий сетевой диск с документами клиента, что позволило попасть в инфраструктуру финансовой организации.
Для защиты от угроз, подобных кампаниям группы RedCurl, организациям необходим комплексный подход: автоматизированная защита электронной почты от фишинговых рассылок, система для проактивного поиска и защиты от сложных и неизвестных киберугроз, а также комплексное решение для исследования и атрибуции кибератак, содержащее структурированные данные о тактиках, инструментах и активности злоумышленников.