Group-IB раскрыла группировку, которая занималась корпоративным шпионажем.

Предположительно русскоязычная группа RedCurl менее чем за три года совершила минимум 26 кибератак на коммерческие организации в РФ, Украине, Великобритании, Германии, Канаде и Норвегии. Жертвами стали 14 компаний. Некоторые – неоднократно.

Первая известная атака произошла в мае 2018 года: хакеры использовали письма якобы от HR-департамента. При открытии аттача на компьютере жертвы запускался троян, который контролировался группой через легитимные облачные хранилища.

После злоумышленники крали информацию: деловую переписку, документы, представляющие коммерческую тайну, персональные данные сотрудников, а также их пароли. Трояны же продолжали распространяться внутри сети.

ИБ-эксперты обнаружили, что хакеры оставались в сетях компаний от двух месяцев до полугода.

Новые атаки RedCurl продолжают фиксироваться.