Хакерская группировка атакует российские компании фишинговой рассылкой со скидкой на маркетплейсе

Группировка RedCurl за четыре с половиной года своей деятельности атаковала 34 цели: 20 из них — в России, остальные — в Великобритании, Германии, Канаде, Норвегии, Австралии и на Украине. Две их этих атак были совершены в ноябре 2022 и в мае 2023 года, говорится в исследовании компании F.A.С.С.T. (экс-Group-IB).

Эксперты выяснили, что в обеих кампаниях первоначальным вектором проникновения в инфраструктуру организации стали рассылки фишинговых писем с вредоносным ПО. На этот раз в своих сообщениях-приманках злоумышленники использовали бренд популярного маркетплейса — получателям письма и членам их семей обещали корпоративную скидку 25% на все товары.

Целью ноябрьской атаки оказался крупный российский банк из перечня системно значимых кредитных организаций. Киберпреступная группа сделала вредоносную рассылку, но вредоносные письма были обнаружены, заблокированы и не попали к адресатам.

После неудачи хакеры из RedCurl переключились на подрядчика банка, использовав тактику атаки на поставщика. Получив доступ к компьютеру сотрудника организации-подрядчика, предположительно, через фишинговую рассылку, киберпреступники смогли проникнуть на общий сетевой диск с документами клиента. Это позволило попасть в инфраструктуру финансовой организации.

Среди жертв были строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические организации. С момента заражения до кражи данных RedCurl проводит в сети жертвы от 2 до 6 месяцев.