El grupo de piratería de habla rusa llamó Redcurl se ha vinculado a una campaña de ransomware por primera vez, marcando una partida en la artesanía del actor de amenaza.
La actividad, observado Por la empresa rumana de ciberseguridad Bitdefender, implica el despliegue de una cepa de ransomware nunca antes vista denominado QWCrypt.
Redcurl, también llamado Earth Kapre y Red Wolf, tiene una historia de orquestar ataques de espionaje corporativo dirigidos a varias entidades en Canadá, Alemania, Noruega, Rusia, Eslovenia, Ucrania, el Reino Unido y los Estados Unidos. Se sabe que está activo desde al menos noviembre de 2018.
Cadenas de ataque documentado Por grupo-IB en 2020 implicó el uso de correos electrónicos de phishing de lanza con señuelos temáticos de recursos humanos (recursos humanos) para activar el proceso de implementación de malware. A principios de este enero, cazadora detallado Los ataques montados por el actor de amenaza dirigido a varias organizaciones en Canadá para desplegar un cargador denominado Redloader con “capacidades simples de puerta trasera”.
Luego, el mes pasado, la compañía canadiense de ciberseguridad Esentire reveló El uso de RedCurl de los archivos adjuntos de spam PDF disfrazados de CVS y cartas de presentación en mensajes de phishing para que el cargador malware use el ejecutable legítimo de Adobe “AdnotificationsManager.exe”.
La secuencia de ataque detallada por BitDefender traza los mismos pasos, utilizando archivos de imagen de disco montable (ISO) disfrazados de CVS para iniciar un procedimiento de infección en varias etapas. Presente dentro de la imagen del disco hay un archivo que imita un protector de pantalla de Windows (SCR) pero, en realidad, es el binario adnotificationManager.exe que se usa para ejecutar el cargador (“netUtils.dll”) usando la carga lateral de DLL.
“Después de la ejecución, NetUtils.dll inicia inmediatamente una llamada de ShellexCutea con el verbo abierto, dirigiendo el navegador de la víctima a https://secure.deed.com/auth”, dijo Martin Zugec, director de soluciones técnicas de Bitdefender, en un informe compartido con Hacker News.
“Esto muestra una página de inicio de sesión legítima, una distracción calculada diseñada para engañar a la víctima para que piense que simplemente están abriendo un CV. Esta táctica de ingeniería social proporciona una ventana para que el malware funcione sin ser detectado”.
 |
| Fuente de la imagen: Esentire |
El cargador, por bitdefender, también actúa como descargador para una DLL de puerta trasera de próxima etapa, al tiempo que establece la persistencia en el host por medio de una tarea programada. El DLL recién recuperado se ejecuta luego utilizando el Asistente de Compatibilidad del Programa (pcalua.exe), una técnica detallada por Trend Micro en marzo de 2024.
El acceso que ofrece el implante allana el camino para el movimiento lateral, lo que permite al actor de amenaza navegar por la red, recopilar inteligencia y aumentar aún más su acceso. Pero en lo que parece ser un gran eje de su modus operandi establecido, uno de esos ataques también condujo al despliegue de ransomware por primera vez.
“Esta orientación enfocada puede interpretarse como un intento de infligir el máximo daño con un esfuerzo mínimo”, dijo Zugec. “Al encriptar las máquinas virtuales alojadas en los hipervisores, haciéndolos innumerables, RedCurl desactiva efectivamente toda la infraestructura virtualizada, impactando todos los servicios alojados”.
El ejecutable de ransomware, además de emplear la técnica traer su propia vulnerable controlador (BYOVD) para deshabilitar el software de seguridad de punto final, toma medidas para recopilar información del sistema antes de lanzar la rutina de cifrado. Además, la nota de rescate disminuyó después del cifrado parece estar inspirado en los grupos Lockbit, Hardbit y Mimic.
“Esta práctica de reutilizar el texto de nota de rescate existente plantea preguntas sobre los orígenes y las motivaciones del grupo RedCurl”, dijo Zugec. “En particular, no hay un sitio de fuga dedicado (DLS) conocido asociado con este ransomware, y no está claro si la nota de rescate representa un intento de extorsión genuino o un desvío”.
About the Author
