В отчете компании Group-IB, специализирующейся на предупреждении информационных атак, указано, что хакеры из RedCurl совершили атаки на крупного ритейлера из России. Данная хакерская группа занимается коммерческим шпионажем и хищением корпоративных документов.

За период 2018-2020 гг. русскоязычные киберпреступники из данной группировки произвели 26 кибератак. При этом, эксперты установили четырнадцать организаций, которые пострадали от их действий. Все они были из разных государств (Германии, России, Великобритании, Украины, Канады, Норвегии) и работали в разных сферах. Среди жертв, по словам специалистов, были консалтинговые, финансовые, юридические, страховые, строительные фирмы, а также ритейлеры.  

После семимесячной тишины экспертами были отмечены новые хакерские атаки. С начала текущего года, согласно информации Group-IB, крупная группировка RedCurl осуществила 4 атаки, из них две на одного из наиболее крупных российских ритейлеров, который занимается розничными и оптовыми продажами в Интернете. Эксперты утверждают, что инструментарий киберпреступников значительно улучшился.

«Визиткой» хакеров являются фишинговые уведомления (письма), отправленные ими, якобы, от HR-отдела работникам департаментов различных организаций, содержащих информацию о премировании. Осуществляя новые кибератаки, злоумышленники делали рассылку и от лица госпортала. В письмах шла речь об открытии исполнительного производства.

Практически сразу после заражения ПК, киберпреступники занимаются сбором данных о системе – список дисков, ОС, паролей. Украденные сведения сохраняются в специальном файле. Прежде, чем сохранить данные, происходит коррекция времени с учетом минского времени. Эксперты утверждают, что группировка использует уникальные методики для русскоязычного сегмента взломщиков. Период от «заражения» от ПК и хищением составляет два-шесть месяцев. При этом хакеры, чтобы контролировать устройства удаленно, не пользуются распространенными и стандартными инструментами.

Эксперты из Group-IB отметили, что хакеры из данной группировки не совершают стандартные для киберпреступников действия – не воруют деньги со счетов жертв, не просят выкуп, не занимаются шифровкой инфраструктуры.

Такое поведение говорит о том, что они по другим каналам получают оплату за проделанную работу. Их целью является ценная информация, например, рабочая переписка, личные дела персонала, документы судебной практики и прочее.

Group-IB в мае 2020 г. рассказала, что РФ занимает лидирующую позицию по хостингу мошеннических ресурсов, 34 процента из которых были заблокированы. На второй ступени стоят Соединенные Штаты – 37 процентов, а на третьей – Панама с показателем восемь процентов.