Хакерская группировка RedCurl, специализирующаяся на коммерческом шпионаже, совершила две кибератаки на один крупный российский интернет-магазин. С начала 2021 года всего было произведено четыре атаки этими хакерами.
О кибератаках сообщается в отчёте Group-IB — компании, занимающейся кибербезопасностью. При этом, название отечественного ретейлера не раскрывается. В компании поведали, что русскоязычные хакеры, входящие в RedCurl, с 2018 по 2020 годы совершили 26 атак, в 14 случаях удалось выяснить, кто пострадал.
Отмечается, что атакованы тогда были финансовые, строительные, юридические, консалтинговые, страховые компании, а также ретейлеры. Все они находились как в России, так и в Германии, Великобритании, Канаде, Норвегии и на Украине. Через семь месяцев хакеры вновь активизировались и совершили четыре кибератаки. Две из них коснулись одного из крупнейших ретейлеров в РФ, занимающегося оптовой и розничной онлайн-торговлей.
Как написано в отчёте, хакеры использовали два варианта нападения. В первом случае они отправляли фишинговые письма работникам от имени HR-отдела. В них они рассказывали, что сотрудникам назначена премия. Во втором случае злоумышленники делали рассылку от «всем известного госпортала», сообщая о возбуждении исполнительного производства.
Когда устройство было заражено, хакеры собирали данные о системе его владельца. Например, пароли, название операционной системы (ОС), список сетевых и логических дисков. Специалисты выяснили, что хакерская группировка использовала необычные способы взлома. Так, она не применяла стандартные методы для дистанционного контроля над компьютерами.
В Group-IB также подчеркнули, что хакеры не забирали деньги со счетов жертвы, не требовали выкупа за информацию. К тому же, злоумышленники не шифровали инфраструктуру атакованной компании.
Как правило, это указывает на то, что группа получает вознаграждение за свою «работу» из других источников. Её задача — как можно незаметнее добыть ценные сведения, — подытожили специалисты Group-IB.
Ранее в ФБР признали рассылку фейковых писем с электронных адресов ведомства. При этом было отмечено, что уязвимость устранена, а взлома программного обеспечения произведено не было. Злоумышленникам, как рассказывали в бюро, удалось проникнуть лишь в систему электронной почты, используемой для связей с общественностью.
