Aktor ancaman bernama ‘Redcurl,’ yang dikenal karena operasi spionase perusahaan yang sunyi sejak 2018, sekarang menggunakan enkriptor ransomware yang dirancang untuk menargetkan mesin virtual Hyper-V.
Sebelumnya, Redcurl terlihat oleh penargetan kelompok-IB Entitas perusahaan di seluruh duniakemudian memperluas operasinya dan meningkatkan jumlah korban.
Namun, seperti yang dilaporkan oleh para peneliti Bitdefender Labs, para aktor ancaman telah mulai menggunakan ransomware pada jaringan yang dikompromikan.
“Kami telah melihat redcurl menempel pada buku pedoman mereka yang biasa dalam banyak kasus, melanjutkan dengan exfiltration data dalam periode waktu yang lebih lama,” demikian membaca Laporan Bitdefender.
“Namun, satu kasus menonjol. Mereka memecahkan rutinitas mereka dan mengerahkan ransomware untuk pertama kalinya.”
Ketika perusahaan semakin beralih ke mesin virtual untuk meng -host server mereka, geng ransomware telah mengikuti tren, menciptakan enkripsi yang secara khusus menargetkan platform virtualisasi.
Sementara sebagian besar operasi ransomware fokus pada penargetan server ESXI VMware, ransomware “QWCrypt” RedCurl yang baru secara khusus menargetkan mesin virtual yang di-host pada Hyper-V.
Serangan qwcrypt
Serangan yang diamati oleh bitdefender dimulai dengan email phishing dengan lampiran “.img” yang disamarkan sebagai CVS. File IMG adalah file gambar disk yang secara otomatis dipasang oleh Windows di bawah huruf drive baru saat diklik dua kali.
File IMG berisi file screensaver yang rentan terhadap sideloading DLL menggunakan ADOBE yang dapat dieksekusi yang sah, yang mengunduh payload dan menetapkan kegigihan melalui tugas yang dijadwalkan.
RedCurl memanfaatkan alat “hidup-off-the-land” untuk mempertahankan stealth pada sistem Windows, menggunakan varian WMIEXEC khusus untuk menyebar secara lateral dalam jaringan tanpa memicu alat keamanan, dan menggunakan alat ‘pahat’ untuk akses tunneling/RDP.
Untuk mematikan pertahanan sebelum penyebaran ransomware, para penyerang menggunakan arsip 7Z terenkripsi dan proses PowerShell multi-tahap.
Tidak seperti banyak enkripsi windows ransomware, QWCrypt mendukung banyak argumen baris perintah yang mengontrol bagaimana enkriptor akan menargetkan mesin virtual Hyper-V untuk menyesuaikan serangan.
--excludeVM string Exclude VMs (csv list) --hv Encrypt HyperV VMs --kill Kill VM process --turnoff TurnOff HyperV VMs (default true)
Dalam serangan yang dilihat oleh Bitdefender, RedCurl menggunakan argumen –Excludevm untuk menghindari mesin virtual yang mengenkripsi yang bertindak sebagai gateway jaringan untuk menghindari gangguan.
Saat mengenkripsi file, para peneliti mengatakan bahwa qwcrypt (‘rbcw.exe’) menggunakan algoritma enkripsi Xchacha20-Poly1305 dan menambahkan ekstensi $ atau.
Enkriptor juga menawarkan opsi untuk menggunakan enkripsi intermiten (blok lewat) atau enkripsi file selektif berdasarkan ukuran untuk peningkatan kecepatan.
Catatan tebusan yang dibuat oleh qwcrypt bernama “!!! how_to_unlock_randombits_files.txt $” dan berisi campuran teks dari Lockbit, hardbit, dan meniru catatan tebusan.
Tidak adanya situs bocor khusus untuk pemerasan ganda menimbulkan pertanyaan apakah RedCurl menggunakan ransomware sebagai bendera palsu atau untuk serangan pemerasan yang benar.
Uang, gangguan, atau pengalihan?
Bitdefender menguraikan dua hipotesis utama mengapa RedCurl sekarang termasuk ransomware dalam operasinya.
Yang pertama adalah bahwa RedCurl beroperasi sebagai kelompok tentara bayaran yang menawarkan layanan kepada pihak ketiga, yang menghasilkan campuran operasi spionase dan serangan yang termotivasi secara finansial.
Dalam beberapa situasi, ransomware bisa menjadi gangguan untuk mencakup pencurian data, atau fallback untuk memonetisasi akses ketika klien gagal membayar layanan utama mereka (pengumpulan data).
Teori kedua adalah bahwa RedCurl terlibat dalam operasi ransomware untuk pengayaan, tetapi memilih untuk melakukannya secara diam -diam, lebih memilih negosiasi pribadi daripada tuntutan tebusan publik dan kebocoran data.
“Penyebaran ransomware grup Redcurl baru -baru ini menandai evolusi yang signifikan dalam taktik mereka,” simpul Bitdefender.
“Keberangkatan dari modus operandi mereka yang mapan ini menimbulkan pertanyaan kritis tentang motivasi dan tujuan operasional mereka.”
