Хакеры из RedCurl атаковали крупный российский банк для получения внутренних данных
Хакерская группа RedCurl успешно атаковала российский крупный банк в мае 2023 года, пишут «Ведомости» со ссылкой на данные F.A.С.С.T (бывшая Group-IB). Хакеры проникли в инфраструктуру банка через компанию-подрядчика для получения доступа ко внутренним документам, рассказали в IT-компании
Хакерская группировка RedCurl (специализируется на коммерческом шпионаже) в мае успешно проникла в инфраструктуру крупного российского банка через компанию-подрядчика. Целью хакеров было получение доступа к корпоративной документации, пишут «Ведомости» со ссылкой на технический отчет F.A.С.С.T (бывшая Group-IB) и ее представителя.
В отчете говорится, что первую попытку хакеры предприняли в ноябре 2022 года: сотрудникам банка (его название не указывается) разослали фишинговые письма с вредоносным программным обеспечением. Рассылку замаскировали под сообщения популярного маркетплейса с обещанием скидки 25% на все товары. Система безопасности банка тогда смогла обнаружить и заблокировать вредоносные письма до того, как они попали к адресатам.
В мае 2023 года хакеры пошли в «атаку на цепочку поставок» (supply chain attack), то есть решили проникнуть в IT-инфраструктуру банка через сторонних поставщиков, система безопасности которых может быть менее защищенной. Предположительно, новая атака также была произведена через фишинговое письмо, отмечается в отчете F.A.С.С.T.
Злоумышленники получили доступ к компьютеру сотрудника компании-подрядчика, а через него к общему сетевому файловому хранилищу, содержащем большое количество финансовых документов банка. В него хакеры внедрили вредоносные файлы говорится в отчете. Впоследствии их запустил сотрудник банка, что позволило хакерам попасть в его инфраструктуру.
Генеральный директор F.A.C.C.T. Валерий Баулин рассказал, что примерно через месяц банк попросил отреагировать на инцидент, тогда и выяснилась схема атаки через поставщика. По словам собеседника газеты, у компании нет подтверждения кражи каких-либо внутренних документов, но RedCurl охотится именно за документами, представляющими коммерческую тайну или содержащими персональные данные сотрудников. Когда речь идет о краже финансовой и персональной информации, отметил Баулин, прямой ущерб не столь очевиден, чем при хищении коммерческой информации при кибершпионаже.
Косвенный ущерб может выражаться в виде переработок и простоя оборудования, добавил главный эксперт «Лаборатории Касперского» Сергей Голованов. По словам Баулина, нужно учитывать издержки компании на реагирование на инцидент, усиление киберзащиты инфраструктуры, ее аудит и т. д. Атакованному клиенту дается довольно обширный список рекомендаций: на что обратить внимание, какие решения поставить, какие услуги заказать — аудит сетевой инфраструктуры, веб-приложения, мобильного приложения и другие, отметил эксперт.
Одним из известных случаев в России последних нескольких лет является успешная атака группировки MoneyTaker на систему межбанковских переводов АРМ КБР (автоматизированное рабочее место клиента Банка России) в 2020–2021 годах. Тогда от действий хакеров пострадал банк за пределами первой сотни по объему активов, но хакерам удалось украсть более 500 млн рублей. MoneyTaker стояла за атакой на «Пир банк» в 2018 году: деньги также вывели через АРМ КБР.
RedCurl предположительно состоит из русскоговорящих хакеров. Она раскрыта компанией F.A.С.С.T. в конце 2019 года, но действует как минимум с 2018 года. По данным F.A.C.C.T., за 4,5 года RedCurl атаковала 34 цели, 20 из них в России, остальные в Великобритании, Германии, Канаде, Норвегии, Австралии и на Украине. С момента заражения до кражи данных RedCurl проводит в сети организации от двух до шести месяцев.