Обнаружена новая волна атак группировки Red Wolf (известна также как Red Curl), которая активно не проявляла себя с 2022 года. Как и ранее, атакующие нацелены на конфиденциальные данные коммерческих организаций России, сообщили эксперты BI.ZONE.

Red Wolf проявляет активность с 2018 года и занимается промышленным кибершпионажем на территории РФ, Германии, Украины, Канады, Норвегии и Великобритании.

Для проникновения в компании злоумышленники рассылают фишинговые электронные письма. В обнаруженной экспертами BI.ZONE кампании они использовали образы дисков для доставки вредоносного программного обеспечения на целевые системы. Процесс компрометации включал несколько стадий, что затрудняло обнаружение традиционными средствами защиты. По результатам успешной компрометации Red Wolf отправляла данные о системе на командный сервер и загружала дополнительные вредоносы.

По словам руководителя управления киберразведки BI.ZONE Олега Скулкина, обычно шпионажем занимаются спонсируемые государствами группы, поэтому страдают в основном промышленные и государственные компании. Но есть исключения, отметил он, например, Red Wolf, целями которой являются преимущественно коммерческие организации.

«Группировка предпочитает медленное продвижение по скомпрометированной ИТ-инфраструктуре, оставаясь незамеченной до полугода. Несмотря на использование широко известных методов реализации атак, злоумышленникам всё же удается эффективно противодействовать традиционным средствам защиты, сводя возможность обнаружения к минимуму», — констатировал Скулкин.