{"id":1596785,"date":"2025-03-26T15:58:39","date_gmt":"2025-03-26T17:58:39","guid":{"rendered":"https:\/\/teknomers.com\/fr\/redcurl-passe-de-lespionnage-a-des-ransomwares-avec-un-premier-deploiement-qwcrypt\/"},"modified":"2025-03-26T15:58:45","modified_gmt":"2025-03-26T17:58:45","slug":"redcurl-passe-de-lespionnage-a-des-ransomwares-avec-un-premier-deploiement-qwcrypt","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/redcurl-passe-de-lespionnage-a-des-ransomwares-avec-un-premier-deploiement-qwcrypt\/","title":{"rendered":"Redcurl passe de l&#8217;espionnage \u00e0 des ransomwares avec un premier d\u00e9ploiement QWCrypt"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">26 mars 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">The Hacker News<\/span><\/span><span class=\"p-tags\">Ransomware \/ S\u00e9curit\u00e9 des points de terminaison<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Redcurl-passe-de-lespionnage-a-des-ransomwares-avec-un-premier.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Le groupe de piratage russe appel\u00e9 <strong>Redcurl<\/strong> a \u00e9t\u00e9 li\u00e9 \u00e0 une campagne de ransomwares pour la premi\u00e8re fois, marquant un d\u00e9part dans le m\u00e9tier de l&#8217;acteur de menace.<\/p>\n<p>L&#8217;activit\u00e9, <a rel=\"noopener nofollow\" href=\"https:\/\/www.bitdefender.com\/en-us\/blog\/businessinsights\/redcurl-qwcrypt-ransomware-technical-deep-dive\" target=\"_blank\">observ\u00e9<\/a> Par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 roumaine, Bitdefender, implique le d\u00e9ploiement d&#8217;une souche de ransomware jamais vu auparavant baptis\u00e9 QWCrypt.<\/p>\n<p>Redcurl, \u00e9galement appel\u00e9 Earth Kapre et Red Wolf, a une histoire d&#8217;orchestration d&#8217;attaques d&#8217;espionnage d&#8217;entreprise destin\u00e9es \u00e0 diverses entit\u00e9s au Canada, en Allemagne, en Norv\u00e8ge, en Russie, en Slov\u00e9nie, en Ukraine, au Royaume-Uni et aux \u00c9tats-Unis. Il est connu pour \u00eatre actif depuis au moins novembre 2018.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Cha\u00eenes d&#8217;attaque <a rel=\"noopener nofollow\" href=\"https:\/\/go.group-ib.com\/report-redcurl-en\" target=\"_blank\">document\u00e9<\/a> En groupe, IB en 2020 impliquait l&#8217;utilisation d&#8217;e-mails de phission de lance portant des leurres sur le th\u00e8me des ressources humaines (RH) pour activer le processus de d\u00e9ploiement des logiciels malveillants. Plus t\u00f4t en janvier, Huntress <a rel=\"noopener nofollow\" href=\"https:\/\/www.huntress.com\/blog\/the-hunt-for-redcurl-2\" target=\"_blank\">d\u00e9taill\u00e9<\/a> Des attaques lanc\u00e9es par l&#8217;acteur de menace ciblant plusieurs organisations au Canada pour d\u00e9ployer un chargeur surnomm\u00e9 Redloader avec des &#8220;capacit\u00e9s de porte d\u00e9rob\u00e9e simples&#8221;.<\/p>\n<p>Puis le mois dernier, la soci\u00e9t\u00e9 canadienne de cybers\u00e9curit\u00e9 Esesentire <a rel=\"noopener nofollow\" href=\"https:\/\/www.esentire.com\/blog\/unraveling-the-many-stages-and-techniques-used-by-redcurl-earthkapre-apt\" target=\"_blank\">r\u00e9v\u00e9l\u00e9<\/a> L&#8217;utilisation par Redcurl des pi\u00e8ces jointes PDF par Spam se faisant passer pour des CV et des lettres de motivation dans des messages de phishing pour mettre \u00e0 c\u00f4t\u00e9 le logiciel malveillant du chargeur \u00e0 l&#8217;aide de l&#8217;ex\u00e9cutable Adobe l\u00e9gitime &#8220;AdnotificationManager.exe&#8221;. <\/p>\n<p>La s\u00e9quence d&#8217;attaque d\u00e9taill\u00e9e par BitDefender retrace les m\u00eames \u00e9tapes, en utilisant des fichiers d&#8217;image de disque monable (ISO) d\u00e9guis\u00e9s en CVS pour initier une proc\u00e9dure d&#8217;infection en plusieurs \u00e9tapes. Pr\u00e9sente dans l&#8217;image du disque se trouve un fichier qui imite un \u00e9conomiseur d&#8217;\u00e9cran Windows (SCR) mais, en r\u00e9alit\u00e9, est le binaire AdnotificationManager.exe qui est utilis\u00e9 pour ex\u00e9cuter le chargeur (&#8220;NetUtils.dll&#8221;) en utilisant le chargement lat\u00e9ral DLL.<\/p>\n<p>&#8220;Apr\u00e8s l&#8217;ex\u00e9cution, le netutils.dll lance imm\u00e9diatement un appel ShellexEcutea avec le verbe ouvert, dirigeant le navigateur de la victime \u00e0 https:\/\/secure.indeed.com\/auth&#8221;, a d\u00e9clar\u00e9 Martin Zugec, directeur des solutions techniques \u00e0 Bitdefender, dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n<p>&#8220;Cela affiche une page de connexion l\u00e9gitime en effet, une distraction calcul\u00e9e con\u00e7ue pour induire la victime en erreur en pensant qu&#8217;elle ouvre simplement un CV. Cette tactique d&#8217;ing\u00e9nierie sociale fournit une fen\u00eatre pour que les logiciels malveillants fonctionnent non d\u00e9tect\u00e9s.&#8221;<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Redcurl-passe-de-lespionnage-a-des-ransomwares-avec-un-premier.jpg\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Redcurl-passe-de-lespionnage-a-des-ransomwares-avec-un-premier.jpg\" alt=\"\" border=\"0\" data-original-height=\"476\" data-original-width=\"1078\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Source de l&#8217;image: Esesentire<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Le chargeur, par bitdefender, agit \u00e9galement comme t\u00e9l\u00e9chargeur pour une DLL de porte d\u00e9rob\u00e9e \u00e0 la prochaine \u00e9tape, tout en \u00e9tablissant de la persistance sur l&#8217;h\u00f4te au moyen d&#8217;une t\u00e2che planifi\u00e9e. La DLL nouvellement r\u00e9cup\u00e9r\u00e9e est ensuite ex\u00e9cut\u00e9e \u00e0 l&#8217;aide de l&#8217;assistant de compatibilit\u00e9 du programme (Pcalua.exe), une technique d\u00e9taill\u00e9e par Trend Micro en mars 2024.<\/p>\n<p>L&#8217;acc\u00e8s accord\u00e9 par l&#8217;implant ouvre la voie \u00e0 un mouvement lat\u00e9ral, permettant \u00e0 l&#8217;acteur de menace de naviguer dans le r\u00e9seau, de recueillir des renseignements et de d\u00e9g\u00e9n\u00e9rer davantage leur acc\u00e8s. Mais dans ce qui semble \u00eatre un pivot majeur de leur modus operandi \u00e9tabli, une de ces attaques a \u00e9galement conduit au d\u00e9ploiement de ransomwares pour la premi\u00e8re fois.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-ai-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/VMware-Security-Flaws-exploite-dans-la-nature-BroadCom-publie.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Ce ciblage cibl\u00e9 peut \u00eatre interpr\u00e9t\u00e9 comme une tentative d&#8217;infliger un maximum de d\u00e9g\u00e2ts avec un minimum d&#8217;effort&#8221;, a d\u00e9clar\u00e9 Zugec. &#8220;En cryptant les machines virtuelles h\u00e9berg\u00e9es sur les hyperviseurs, ce qui les rend inoverables, Redcurl d\u00e9sactive efficacement toute l&#8217;infrastructure virtualis\u00e9e, impactant tous les services h\u00e9berg\u00e9s.&#8221;<\/p>\n<p>L&#8217;ex\u00e9cutable Ransomware, en plus de l&#8217;utilisation de la technique Bring Your Own Vulnerable Driver (BYOVD) pour d\u00e9sactiver le logiciel de s\u00e9curit\u00e9 des points de terminaison, prend des mesures pour recueillir des informations syst\u00e8me avant de lancer la routine de cryptage. De plus, la note de ran\u00e7on supprim\u00e9e apr\u00e8s le cryptage semble \u00eatre inspir\u00e9e par les groupes Lockbit, Hardbit et Mimic.<\/p>\n<p>&#8220;Cette pratique de r\u00e9utilisation du texte de la note de ran\u00e7on existante soul\u00e8ve des questions sur les origines et les motivations du groupe Redcurl&#8221;, a d\u00e9clar\u00e9 Zugec. &#8220;Notamment, aucun site de fuite d\u00e9di\u00e9 (DLS) connu n&#8217;est associ\u00e9 \u00e0 ce ransomware, et il n&#8217;est pas clair si la note de ran\u00e7on repr\u00e9sente une v\u00e9ritable tentative d&#8217;extorsion ou une diversion.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? <span class=\"\">Cet article est un article contribu\u00e9 de l&#8217;un de nos pr\u00e9cieux partenaires.<\/span> Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/redcurl-shifts-from-espionage-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80226 mars 2025\ue804The Hacker NewsRansomware \/ S\u00e9curit\u00e9 des points de terminaison Le groupe de piratage russe appel\u00e9 Redcurl a \u00e9t\u00e9 li\u00e9 \u00e0 une campagne de ransomwares pour la premi\u00e8re fois, marquant un d\u00e9part dans le m\u00e9tier de l&#8217;acteur de menace. L&#8217;activit\u00e9, observ\u00e9 Par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 roumaine, Bitdefender, implique le d\u00e9ploiement d&#8217;une souche de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1596786,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,84,4168,79002,274264,4161,274263,6124,4390,133,13617,274267,4160,769,2497,289896,63091,289895,238617,246491,4172,79016,4166,4164],"class_list":["post-1596785","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-avec","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-deploiement","tag-des","tag-lespionnage","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-passe","tag-premier","tag-qwcrypt","tag-ransomwares","tag-redcurl","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1596785","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1596785"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1596785\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1596786"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1596785"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1596785"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1596785"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}