Группировка RedCurl нацелилась на российский финсектор

Специалисты компании F.A.C.C.T. зафиксировали активность группировки RedCurl – русскоговорящих хакеров, специализирующихся на коммерческом шпионаже и краже корпоративной информации. Злоумышленники провели сразу две атаки на крупный российский банк, одна из них стала успешной.

Группировка RedCurl действует с 2018 года, а первые упоминания о ней появились в 2019 году. За 4,5 года хакеры атаковали 34 организации, 20 из которых – российские. Также атакам подвергались крупные компании из Украины, Германии, Великобритании, Канады, Норвегии и Австралии. У злоумышленников нет излюбленного сектора экономики, в 2021 году была зафиксирована атака на сектор розничной торговли, а также во внимание хакеров попадают страховые, строительные, консалтинговые и другие компании.

На этот раз RedCurl пришла за финансовым сектором. Атакован крупный российский банк, название которого не раскрывается. Хакеры пытались пробраться в систему через фишинговую атаку, но она была прервана. Тогда они предприняли вторую попытку и проникли в инфраструктуру через одного из подрядчиков, вероятно, также с помощью фишинга.

После проникновения в инфраструктуру жертвы хакеры могут находиться в ней до нескольких месяцев с целью шпионажа и кражи важных корпоративных данных. Известно, что злоумышленники использовали письма от лица известного маркетплейса с предложением 25% скидки на все товары за переход по ссылке, за которой скрывалось вредоносное ПО.