Компания F.A.С.С.T., российский разработчик технологий для борьбы с киберпреступлениями, фиксирует новые атаки хакерской группы RedCurl, специализирующейся на коммерческом шпионаже и краже корпоративной документации. На этот раз одной из жертв русскоговорящих хакеров стал крупный российский банк — киберпреступники атаковали его дважды: сначала напрямую с помощью таргетированных фишинговых рассылок от имени крупного российского маркетплейса, а затем — через компанию-подрядчика.
Ранее неизвестная группа RedCurl была раскрыта компанией F.A.С.С.T. (экс-Group-IB) в конце 2019 года. Группа, предположительно, состоящая из русскоговорящих хакеров, привлекла внимание экспертов тем, что проводила тщательно спланированные атаки на частные компании из различных отраслей, используя уникальный инструментарий. По данным компании F.A.С.С.T., группа активна, как минимум, с 2018 года.
Цепочка атаки, инструменты, тактики и техники RedCurl впервые были подробно описаны в отчете 2020 года «RedCurl. Пентест о котором вы не просили», а год спустя — в исследовании «RedCurl. Пробуждение».
По данным F.A.C.C.T., за четыре с половиной года RedCurl атаковала 34 цели: 20 из них — в России, остальные — в Великобритании, Германии, Канаде, Норвегии, на Украине. Среди жертв были строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические организации. С момента заражения до кражи данных RedCurl проводит в сети жертвы от 2 до 6 месяцев.
