Um ator de ameaça conhecido como "RedCurl", famoso por operações de espionagem corporativa furtivas desde 2018, agora está utilizando um ransomware criptografador projetado para atacar máquinas virtuais Hyper-V.
Anteriormente, o RedCurl foi identificado pela Group-IB visando entidades corporativas em todo o mundo, expandindo posteriormente suas operações e aumentando o número de vítimas.
Contudo, conforme relatam pesquisadores da Bitdefender Labs, os atores de ameaças começaram a implantar ransomware em redes comprometidas.
"Vimos o RedCurl manter-se fiel ao seu playbook usual na maioria dos casos, continuando com a exfiltração de dados por períodos mais longos," lê-se no relatório da Bitdefender.
"No entanto, um caso se destacou. Eles quebraram sua rotina e implantaram ransomware pela primeira vez."
À medida que as empresas movem-se cada vez mais para máquinas virtuais para hospedar seus servidores, gangues de ransomware seguiram a tendência, criando criptografadores que visam especificamente plataformas de virtualização.
Enquanto a maioria das operações de ransomware foca em visar servidores VMware ESXi, o novo ransomware "QWCrypt" do RedCurl visa especificamente máquinas virtuais hospedadas no Hyper-V.
Os ataques observados pela Bitdefender começam com e-mails de phishing contendo anexos ".IMG" disfarçados como currículos.
Arquivos IMG são arquivos de imagem de disco que são automaticamente montados pelo Windows sob uma nova letra de unidade quando são clicados duas vezes.
Os arquivos IMG contêm um arquivo de protetor de tela vulnerável a DLL sideloading usando um executável legítimo da Adobe, que baixa um payload e estabelece persistência via uma tarefa agendada.
RedCurl utiliza ferramentas "living-off-the-land" para manter a discrição em sistemas Windows, usa uma variante personalizada de wmiexec para se espalhar lateralmente na rede sem acionar ferramentas de segurança, e usa a ferramenta 'Chisel' para acesso de túnel/RDP.
Para desligar as defesas antes da implantação do ransomware, os atacantes usam arquivos 7z criptografados e um processo multi-estágio de PowerShell.
Ao contrário de muitos criptografadores de ransomware para Windows, o QWCrypt suporta numerosos argumentos de linha de comando que controlam como o criptografador vai visar máquinas virtuais Hyper-V para personalizar ataques.
Nos ataques vistos pela Bitdefender, RedCurl utilizou o argumento --excludeVM para evitar criptografar máquinas virtuais que atuavam como gateways de rede para evitar disrupções.
Quando criptografando arquivos, os pesquisadores dizem que o QWCrypt ('rbcw.exe') usa o algoritmo de criptografia XChaCha20-Poly1305 e acrescenta a extensão .locked$ ou .randombits$ aos arquivos criptografados.
O criptografador também oferece a opção de usar criptografia intermitente (pulando blocos) ou criptografia seletiva de arquivos baseada em tamanho para aumentar a velocidade.
A nota de resgate criada pelo QWCrypt é nomeada "!!!how_to_unlock_randombits_files.txt$" e contém uma mistura de texto das notas de resgate do LockBit, HardBit e Mimic.
A ausência de um site dedicado para extorsão dupla levanta questões sobre se o RedCurl está usando ransomware como uma bandeira falsa ou para ataques de extorsão verdadeiros.
A Bitdefender delineia duas principais hipóteses para por que o RedCurl agora inclui ransomware em suas operações.
A primeira é que o RedCurl atua como um grupo mercenário que oferece serviços a terceiros, resultando em uma mistura de operações de espionagem e ataques motivados financeiramente.
Em algumas situações, o ransomware poderia ser uma distração para encobrir o furto de dados, ou um plano B para monetizar o acesso quando um cliente falha em pagar pelos seus serviços primários (coleta de dados).
A segunda teoria é que o RedCurl de fato se envolve em operações de ransomware para enriquecimento, mas opta por fazê-lo silenciosamente, preferindo negociações privadas a demandas de resgate públicas e vazamento de dados.
"A recente implantação de ransomware pelo grupo RedCurl marca uma evolução significativa em suas táticas," conclui a Bitdefender.
Esta partida de seu modus operandi estabelecido levanta questões críticas sobre suas motivações e objetivos operacionais.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...