Хакерская группировка RedCurl атаковал крупнейший российский маркетплейс

Российский ритейлер, входящий в ТОП-20 крупнейших интернет-магазинов страны, подвергся нападению киберпреступников. Следы атак обнаружила компания Group-IB.

Русскоязычная группа RedCurl занимается коммерческим шпионажем и кражей корпоративной документации у компаний из различных отраслей. В аналитическом отчете Group-IB «RedCurl. Пробуждение» описаны изменения тактики и инструментов группы, используемых для проникновения в сети компаний.

«После продолжительного перерыва группа вернулась на арену кибершпионажа. Атакующие показывают глубокие навыки проведения тестов на проникновение, а также разработки вредоносного ПО способного обходить классические антивирусные средства защиты. А значит все большее количество компаний будут попадать в список жертв группы, проводящей таргетированные атаки с целью кражи внутренних документов компаний», – сообщил на корпоративном сайте руководитель отдела динамического анализа вредоносного кода Group-IB Иван Писарев.
По его словам, несмотря на то, что шпионаж в коммерческой сфере пока еще редкое явление, не исключено, что успех данной группы может задать новый тренд на такие киберпреступления.

Всего на счету RedCurl на данный момент 30 атак. В период с 2018 – 2020 гг. она совершила 26 атак, при этом команде Group-IB удалось идентифицировать 14 организаций-жертв RedCurl из разных стран и индустрий. Среди ее целей – строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические организации из России, Украины, Великобритании, Германии, Канады и Норвегии. В 2021 году атаки RedСurl возобновились.

Их фирменным стилем является отправка фишинговых писем в разные департаменты организации от имени HR-команды. Однако, в новых атаках на ритейл RedCurl осуществили две хорошо подготовленные рассылки – одна была якобы от HR-департамента организации-жертвы, а вторая от имени всем известного госпортала с интригующей темой письма – «Возбуждении исполнительного производства».

В Group-IB отмечают, что несмотря на высокий уровень контроля сети жертвы, группа не занимается шифрованием ее инфраструктуры для выкупа, не выводит деньги со счетов. Это указывает что хакеры действует по заказу. Прежде всего, Redcurl интересуют: деловая переписка по электронной почте, личные дела сотрудников, документация по различным юридическим лицам, судебным делам и другая внутренняя информация. 

Изображение: Group-IB