Grupo RedCurl muda tática e agora instala ransomware em servidores Hyper-V

Desde 2018, o grupo RedCurl realiza campanhas de espionagem contra empresas, e recentemente mudou seu modus operandi. Agora, eles instalam um ransomware chamado QWCrypt em sistemas de virtualização Hyper-V. A descoberta foi feita pelos investigadores do Bitdefender Labs, que identificaram esta como a primeira incursão documentada do grupo no universo do ransomware.

O RedCurl, anteriormente conhecido como Earth Kapre ou Red Wolf, manteve-se por anos atuando discretamente com técnicas de Living-off-the-Land (LOTL) para espionagem corporativa e exfiltração de dados. Esta mudança para o uso de ransomware é uma evolução em suas táticas e levanta dúvidas sobre as motivações do grupo, que tem deixado rastros de ataques nos Estados Unidos, Alemanha, Espanha e México.

O QWCrypt é diferente da maioria dos grupos de ransomware que atacam todos os endpoints ou focam em servidores VMware ESXi. Em vez disso, o RedCurl direciona seu novo malware especificamente para sistemas Hyper-V, demonstrando um entendimento profundo da infraestrutura de suas vítimas. A estratégia sugere uma tentativa de causar danos máximos com esforço mínimo, criptografando máquinas virtuais em hipervisores enquanto deliberadamente preserva gateways de rede para manter o ataque confinado às equipes de TI.

Como o QWCrypt infecta e se espalha nas redes corporativas

O ataque começa com e-mails de phishing contendo arquivos .IMG disfarçados como currículos de candidatos. Quando abertos, esses arquivos são automaticamente montados pelo Windows como unidades virtuais, exibindo um arquivo chamado “CV APPLICANT 7802-91542.SCR”. Este arquivo é, na verdade, um executável legítimo renomeado, vulnerável a sideloading de DLL.

Após executado, o arquivo malicioso abre imediatamente uma página de login legítima do Indeed para distrair a vítima enquanto baixa o payload final de um domínio controlado pelos atacantes. Esse payload é armazenado no diretório “%APPDATA%BrowserSpec” e uma tarefa agendada é criada para garantir persistência, utilizando ferramentas legítimas do Windows para executar atividades maliciosas sem despertar suspeitas.

Para movimentação lateral na rede, o RedCurl aproveita contas de usuário comprometidas e utiliza WMI para executar comandos em outros computadores. O grupo usa uma ferramenta de pentesting personalizada que imita técnicas encontradas em projetos como wmiexec-RegOut e wmiexec-Pro, com a vantagem de requerer apenas a porta 135 para funcionar, contornando a necessidade de conexão SMB que seria detectada por ferramentas de segurança.

Motivações ainda são desconhecidas

Ainda não está claro porque o RedCurl mudou sua estratégia de ataques para ransomware. Apesar disso, o Bitdefender Labs apresenta duas hipóteses principais para explicar essa evolução.

A primeira sugere que o RedCurl opera como um “mercenário cibernético”, prestando serviços sob demanda para terceiros. A segunda hipótese indica que o RedCurl pode estar priorizando operações discretas e negociações diretas com as vítimas.

Perigos do QWCrypt para empresas

O QWCrypt representa uma ameaça particularmente perigosa para organizações que utilizam a infraestrutura do Microsoft Hyper-V. A estratégia de atacar especificamente hipervisores, em vez de endpoints individuais, demonstra uma ampla compreensão de como causar o máximo de dano com esforço mínimo.

Para mitigar o risco de ataques de ransomwares como o QWCrypt, o Bitdefender Labs recomenda uma abordagem de segurança multinível. Adotar uma abordagem de segurança em camadas é essencial, e as organizações devem investir em uma variedade diversificada de controles de segurança, incluindo segmentação de rede e proteção de endpoint para criar camadas sobrepostas de defesa contra ameaças.

Implemente controle rigoroso de aplicativos para limitar a execução de scripts e binários não-autorizados, mesmo aqueles assinados por fornecedores confiáveis. Proteja ambientes como PowerShell, aplicando políticas de execução e habilitando registros aprimorados.

Além disso, capacidades robustas de detecção e resposta são fundamentais. Seja através de produtos EDR/XDR ou como serviço (MDR), o objetivo é minimizar o tempo em que os invasores permanecem não detectados.

Também é crucial implementar backups imutáveis, isolados da rede de produção, e teste regularmente os procedimentos de recuperação. Tenha cuidado com soluções de backup que dependem de Cópias de Volume Shadow, pois estas são frequentemente alvos do QWCrypt.

Por fim, a inteligência avançada de ameaças pode fornecer insights críticos sobre ataques como os do RedCurl. As soluções certas de inteligência de ameaças podem fornecer informações críticas sobre ataques, reforçando que implementar essas recomendações pode fortalecer significativamente as defesas das organizações contra adversários sofisticados como o RedCurl.