ИТ / Новости
информбезопасность персональные данные
19.11.2021

Хакерская группировка RedCurl атаковал крупнейший российский маркетплейс

Российский ритейлер, входящий в ТОП-20 крупнейших интернет-магазинов страны, подвергся нападению киберпреступников. Следы атак обнаружила компания Group-IB.

Русскоязычная группа RedCurl занимается коммерческим шпионажем и кражей корпоративной документации у компаний из различных отраслей. В аналитическом отчете Group-IB «RedCurl. Пробуждение» описаны изменения тактики и инструментов группы, используемых для проникновения в сети компаний.

«После продолжительного перерыва группа вернулась на арену кибершпионажа. Атакующие показывают глубокие навыки проведения тестов на проникновение, а также разработки вредоносного ПО способного обходить классические антивирусные средства защиты. А значит все большее количество компаний будут попадать в список жертв группы, проводящей таргетированные атаки с целью кражи внутренних документов компаний», – сообщил на корпоративном сайте руководитель отдела динамического анализа вредоносного кода Group-IB Иван Писарев.
По его словам, несмотря на то, что шпионаж в коммерческой сфере пока еще редкое явление, не исключено, что успех данной группы может задать новый тренд на такие киберпреступления.

Всего на счету RedCurl на данный момент 30 атак. В период с 2018 – 2020 гг. она совершила 26 атак, при этом команде Group-IB удалось идентифицировать 14 организаций-жертв RedCurl из разных стран и индустрий. Среди ее целей – строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические организации из России, Украины, Великобритании, Германии, Канады и Норвегии. В 2021 году атаки RedСurl возобновились.

Их фирменным стилем является отправка фишинговых писем в разные департаменты организации от имени HR-команды. Однако, в новых атаках на ритейл RedCurl осуществили две хорошо подготовленные рассылки – одна была якобы от HR-департамента организации-жертвы, а вторая от имени всем известного госпортала с интригующей темой письма – «Возбуждении исполнительного производства».

В Group-IB отмечают, что несмотря на высокий уровень контроля сети жертвы, группа не занимается шифрованием ее инфраструктуры для выкупа, не выводит деньги со счетов. Это указывает что хакеры действует по заказу. Прежде всего, Redcurl интересуют: деловая переписка по электронной почте, личные дела сотрудников, документация по различным юридическим лицам, судебным делам и другая внутренняя информация. 

Изображение: Group-IB

Еще по теме

Почему будущих специалистов по информбезопасности разбирают еще со школы

Новые схемы интернет-мошенников и как им противостоять

Почему буксует импортозамещение электронных компонентов

Почему рынок коммерческих дата-центров нуждается в регулировании

Что ждет начинающего тестировщика в 2024 году

Как найти перспективные зарубежные рынки для российских решений

Какие угрозы несет интернет тел человечеству

Успеют ли банки заменить импортный софт и оборудование до 2025 года

Зачем компании вкладывают деньги в ИТ-состязания?

Импортозамещение и внутренняя разработка ПО в страховании

Почему рынок информационных технологий РФ возвращается к классической дистрибуции

Что сделано и не сделано в цифровизации России за 2023 год

Как заботу о вычислениях переложить на вендоров и почему не все к этому готовы

Когда российский бизнес начнет замещать импортное ИТ-оборудование

Чего добились за два года активного импортозамещения ПО