A RedCurl, um grupo de espionagem cibernética conhecido por suas sofisticadas operações de coleta de dados em empresas, adotou recentemente uma mudança significativa em sua estratégia, passando a empregar ransomware em seus ataques.
Antes, esse grupo focava na aquisição de informações confidenciais de corporações em vários países, incluindo Canadá, Alemanha, Reino Unido e Estados Unidos.
Contudo, em 2025, a organização começou a fazer uso de ransomware, elevando drasticamente a gravidade e os riscos de suas ações.
Em uma recente revelação, a Bitdefender relatou o primeiro ataque conhecido utilizando ransomware por parte do grupo, no qual foi empregado um malware até então desconhecido, chamado QWCrypt.
Esse malware foi distribuído por meio de imagens ISO que simulavam ser currículos falsos.
Essas imagens continham um arquivo executável mal-intencionado, “ADNotificationManager.exe”, que, ao ser executado, carregava uma biblioteca maliciosa denominada “netutils.dll”.
Esse método permitia que o malware se disfarçasse como um documento comum, enquanto secretamente infectava o sistema da vítima.
Após a infecção, o malware atuava como um downloader, procurando por novas bibliotecas maliciosas e criando tarefas para assegurar sua permanência no sistema infectado.
Usava, ainda, técnicas avançadas, como “DLL Sideloading” e “pcalua.exe”, para se espalhar e obter controle remoto, navegando pela rede da vítima, coletando informações e aumentando seu domínio sobre o sistema.
A implementação de ransomware marcou uma virada nos métodos do grupo, sendo empregado para criptografar máquinas virtuais em servidores, interrompendo os serviços da empresa visada.
O ransomware também desativava soluções de segurança endpoint através da técnica BYOVD (Bring Your Own Vulnerable Driver), sendo que as mensagens de resgate imitavam frases usadas por outros grupos notórios, como LockBit e Mimic.
Entretanto, diferentemente dos ataques convencionais, não houve a criação de um site para o vazamento de dados, levantando questões sobre a verdadeira intenção da RedCurl: extorsão ou simplesmente causar confusão.
A transição na estratégia da RedCurl indica que o grupo está buscando diversificar suas abordagens, misturando espionagem com extorsão.
Isso faz com que suas operações se tornem mais imprevisíveis e perigosas para as empresas.
Frente a isso, torna-se imperativo revisar e fortificar as estratégias de segurança cibernética para combater essa ameaça híbrida, que une métodos de espionagem com os impactos destrutivos do ransomware.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...