Prema izvještaju sajber-bezbjednosne firme Bitdefender, ruska hakerska grupa RedCurl uočena je kako koristi ransomware u svojoj posljednjoj kampanji.
Takođe poznata pod imenima Earth Kapre i Red Wolf, grupa RedCurl je aktivna najmanje od 2018. godine, fokusirajući se na korporativnu špijunažu i prvenstveno ciljajući organizacije u Sjedinjenim Američkim Državama. Dodatne žrtve identifikovane su u Njemačkoj, Španiji i Meksiku.
Ova grupa do sada je djelovala u tišini, koristeći dostupne alate za upad i krađu podataka, ali je nedavno počela da koristi novi ransomware nazvan QWCrypt, što predstavlja značajnu promjenu u njihovoj taktici.
Za inicijalni upad, grupa se oslanja na fišing e-mailove koji sadrže IMG fajlove sa SCR fajlom maskiranim u biografiju (CV). SCR fajl je preimenovana verzija legitimnog Adobe izvršnog fajla koji je ranjiv na DLL sideloading.
Učitani DLL preusmjerava žrtvu na stranicu za prijavu, dok istovremeno u pozadini preuzima maliciozni kod. Zakazani zadatak kreiran radi postojanosti omogućava indirektno izvršenje preuzetog koda.
Varijanta ransomwarea QWCrypt koju RedCurl koristi u napadima cilja isključivo hipervizore, šifrujući virtuelne mašine na njima i onesposobljavajući kompletnu virtuelizovanu infrastrukturu organizacije. Virtuelne mašine koje djeluju kao mrežni prolazi nisu šifrovane, a analizirani batch skriptovi sugerišu visoko ciljani napad.
“Održavanjem mrežnih prolaza operativnim i izbjegavanjem šifrovanja krajnjih tačaka, RedCurl je možda pokušao ograničiti napad na IT tim, sprečavajući širu disrupciju i svijest korisnika o napadu,” navodi Bitdefender.
Do sada nije pronađen nijedan dokaz da je RedCurl koristio ukradene podatke za ucjenu, što ih jasno odvaja od finansijski motivisanih grupa koje rijetko daju prioritet krađi vlasničkih informacija radi konkurentske prednosti.
“Prihodi i operativni ciljevi grupe RedCurl i dalje su obavijeni velom misterije, posebno s obzirom na njihovu kontinuiranu aktivnost od 2018. godine. Shodno tome, njihov poslovni model i stvarne motivacije ostaju nejasni,” navodi Bitdefender.
S obzirom na raznovrsnost žrtava i nedostatak konzistentnog operativnog obrasca, sajber-bezbjednosni istraživači spekulišu da RedCurl vjerovatno djeluje kao plaćenička grupa, što bi moglo objasniti njihovu upotrebu ransomwarea za napade na infrastrukturu umjesto na krajnje tačke.
“U plaćeničkom modelu, ransomware može služiti kao diverzija, maskirajući pravi cilj – ciljanu operaciju eksfiltracije podataka. Takođe je moguće da RedCurl, nakon što je završio ugovorenu krađu podataka, nije dobio isplatu, pa je posegao za ransomwareom kao alternativnim načinom monetizacije pristupa,” navodi Bitdefender.
S druge strane, grupa može biti fokusirana na očuvanje diskretnosti svojih operacija, ciljajući hipervizore za šifrovanje i vodeći tajne pregovore sa žrtvama.
“Odsustvo javnih zahtjeva za otkupninu, kao što je objavljivanje na namjenskim stranicama za curenje podataka (DLS), ne znači nužno da RedCurl ne kontaktira direktno žrtve. Moguće je da preferiraju privatne pregovore, čime dodatno naglašavaju svoju sklonost ka diskretnim operacijama i objašnjavaju nedostatak javnih objava o žrtvama,” zaključuje Bitdefender.
Izvor: SecurityWeek
