{"id":1639758,"date":"2025-03-26T17:15:27","date_gmt":"2025-03-26T17:15:27","guid":{"rendered":"https:\/\/teknomers.com\/es\/redcurl-cambia-de-espionaje-a-ransomware-con-la-primera-implementacion-de-qwcrypt\/"},"modified":"2025-03-26T17:15:32","modified_gmt":"2025-03-26T17:15:32","slug":"redcurl-cambia-de-espionaje-a-ransomware-con-la-primera-implementacion-de-qwcrypt","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/redcurl-cambia-de-espionaje-a-ransomware-con-la-primera-implementacion-de-qwcrypt\/","title":{"rendered":"RedCurl cambia de espionaje a ransomware con la primera implementaci\u00f3n de QWCrypt"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>26 de marzo de 2025<\/span>\ue804<\/i>Las noticias del hacker<\/span><\/span>Ransomware \/ Seguridad de punto final<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

El grupo de pirater\u00eda de habla rusa llam\u00f3 Redcurl<\/strong> se ha vinculado a una campa\u00f1a de ransomware por primera vez, marcando una partida en la artesan\u00eda del actor de amenaza.<\/p>\n

La actividad, observado<\/a> Por la empresa rumana de ciberseguridad Bitdefender, implica el despliegue de una cepa de ransomware nunca antes vista denominado QWCrypt.<\/p>\n

Redcurl, tambi\u00e9n llamado Earth Kapre y Red Wolf, tiene una historia de orquestar ataques de espionaje corporativo dirigidos a varias entidades en Canad\u00e1, Alemania, Noruega, Rusia, Eslovenia, Ucrania, el Reino Unido y los Estados Unidos. Se sabe que est\u00e1 activo desde al menos noviembre de 2018.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Cadenas de ataque documentado<\/a> Por grupo-IB en 2020 implic\u00f3 el uso de correos electr\u00f3nicos de phishing de lanza con se\u00f1uelos tem\u00e1ticos de recursos humanos (recursos humanos) para activar el proceso de implementaci\u00f3n de malware. A principios de este enero, cazadora detallado<\/a> Los ataques montados por el actor de amenaza dirigido a varias organizaciones en Canad\u00e1 para desplegar un cargador denominado Redloader con “capacidades simples de puerta trasera”.<\/p>\n

Luego, el mes pasado, la compa\u00f1\u00eda canadiense de ciberseguridad Esentire revel\u00f3<\/a> El uso de RedCurl de los archivos adjuntos de spam PDF disfrazados de CVS y cartas de presentaci\u00f3n en mensajes de phishing para que el cargador malware use el ejecutable leg\u00edtimo de Adobe “AdnotificationsManager.exe”. <\/p>\n

La secuencia de ataque detallada por BitDefender traza los mismos pasos, utilizando archivos de imagen de disco montable (ISO) disfrazados de CVS para iniciar un procedimiento de infecci\u00f3n en varias etapas. Presente dentro de la imagen del disco hay un archivo que imita un protector de pantalla de Windows (SCR) pero, en realidad, es el binario adnotificationManager.exe que se usa para ejecutar el cargador (“netUtils.dll”) usando la carga lateral de DLL.<\/p>\n

“Despu\u00e9s de la ejecuci\u00f3n, NetUtils.dll inicia inmediatamente una llamada de ShellexCutea con el verbo abierto, dirigiendo el navegador de la v\u00edctima a https:\/\/secure.deed.com\/auth”, dijo Martin Zugec, director de soluciones t\u00e9cnicas de Bitdefender, en un informe compartido con Hacker News.<\/p>\n

“Esto muestra una p\u00e1gina de inicio de sesi\u00f3n leg\u00edtima, una distracci\u00f3n calculada dise\u00f1ada para enga\u00f1ar a la v\u00edctima para que piense que simplemente est\u00e1n abriendo un CV. Esta t\u00e1ctica de ingenier\u00eda social proporciona una ventana para que el malware funcione sin ser detectado”.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Fuente de la imagen: Esentire<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

El cargador, por bitdefender, tambi\u00e9n act\u00faa como descargador para una DLL de puerta trasera de pr\u00f3xima etapa, al tiempo que establece la persistencia en el host por medio de una tarea programada. El DLL reci\u00e9n recuperado se ejecuta luego utilizando el Asistente de Compatibilidad del Programa (pcalua.exe), una t\u00e9cnica detallada por Trend Micro en marzo de 2024.<\/p>\n

El acceso que ofrece el implante allana el camino para el movimiento lateral, lo que permite al actor de amenaza navegar por la red, recopilar inteligencia y aumentar a\u00fan m\u00e1s su acceso. Pero en lo que parece ser un gran eje de su modus operandi establecido, uno de esos ataques tambi\u00e9n condujo al despliegue de ransomware por primera vez.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Esta orientaci\u00f3n enfocada puede interpretarse como un intento de infligir el m\u00e1ximo da\u00f1o con un esfuerzo m\u00ednimo”, dijo Zugec. “Al encriptar las m\u00e1quinas virtuales alojadas en los hipervisores, haci\u00e9ndolos innumerables, RedCurl desactiva efectivamente toda la infraestructura virtualizada, impactando todos los servicios alojados”.<\/p>\n

El ejecutable de ransomware, adem\u00e1s de emplear la t\u00e9cnica traer su propia vulnerable controlador (BYOVD) para deshabilitar el software de seguridad de punto final, toma medidas para recopilar informaci\u00f3n del sistema antes de lanzar la rutina de cifrado. Adem\u00e1s, la nota de rescate disminuy\u00f3 despu\u00e9s del cifrado parece estar inspirado en los grupos Lockbit, Hardbit y Mimic.<\/p>\n

“Esta pr\u00e1ctica de reutilizar el texto de nota de rescate existente plantea preguntas sobre los or\u00edgenes y las motivaciones del grupo RedCurl”, dijo Zugec. “En particular, no hay un sitio de fuga dedicado (DLS) conocido asociado con este ransomware, y no est\u00e1 claro si la nota de rescate representa un intento de extorsi\u00f3n genuino o un desv\u00edo”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? Este art\u00edculo es una pieza contribuida de uno de nuestros valiosos socios.<\/span> S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n