Cybersicherheitsexperten von Bitdefender haben eine signifikante Strategieänderung der bekannten Hackergruppe RedCurl aufgedeckt. Die bisher auf Corporate Espionage spezialisierte Gruppe hat ihr Angriffsarsenal um QWCrypt erweitert – eine speziell entwickelte Ransomware, die gezielt auf Microsoft Hyper-V-Virtualisierungsumgebungen abzielt.
Entwicklung und Aktivitäten von RedCurl
Die russischsprachige Hackergruppe RedCurl, die seit 2018 aktiv ist und 2020 erstmals von Group-IB identifiziert wurde, hat sich durch gezielte Angriffe auf verschiedene Wirtschaftssektoren einen Namen gemacht. Ihr Aktionsradius erstreckt sich von Osteuropa über Westeuropa bis nach Südostasien und Australien. Die Gruppe fokussierte sich dabei auf Unternehmen aus den Bereichen Baugewerbe, Finanzen, Consulting, Einzelhandel, Bankwesen und Tourismus.
Technische Analyse der QWCrypt-Ransomware
Die neu entwickelte QWCrypt-Ransomware zeichnet sich durch hochentwickelte technische Merkmale aus:
– Implementation des modernen XChaCha20-Poly1305 Verschlüsselungsalgorithmus
– Kennzeichnung verschlüsselter Dateien mit den Endungen .locked$ oder .randombits$
– Flexible Konfigurationsmöglichkeiten über Kommandozeilenparameter
– Selektive Verschlüsselung basierend auf Dateigrößen
Angriffsmethodik und Infiltrationstechniken
Die Angriffskette beginnt typischerweise mit gezielten Phishing-E-Mails, die gefälschte Bewerbungsunterlagen im IMG-Format enthalten. Nach der Aktivierung nutzt die Malware DLL-Sideloading über legitime Adobe-Executables. Für die laterale Bewegung im Netzwerk kombiniert RedCurl Living-off-the-Land-Techniken mit eigens entwickelten Tools.
Fortgeschrittene Tarnungsmechanismen
Die Gruppe implementiert mehrschichtige PowerShell-Prozesse und verschlüsselte 7z-Archive zur Umgehung von Sicherheitssystemen. Bemerkenswert ist der selektive Ansatz bei der Verschlüsselung: kritische virtuelle Maschinen, die als Netzwerk-Gateways fungieren, werden bewusst ausgespart, was auf ein tiefgreifendes Verständnis von Unternehmensinfrastrukturen hindeutet.
Die Evolution von RedCurl zu Ransomware-Operationen könnte verschiedene strategische Gründe haben. Cybersicherheitsexperten vermuten, dass die Gruppe entweder als Ransomware-as-a-Service-Anbieter agiert, die Verschlüsselung als Ablenkungsmanöver nutzt oder neue Monetarisierungswege erschließt. Das Fehlen einer öffentlichen Leak-Site deutet auf eine Präferenz für direkte Verhandlungen mit den Opfern hin – eine Taktik, die ihrer bisherigen diskreten Vorgehensweise entspricht. Unternehmen wird dringend empfohlen, ihre Virtualisierungsumgebungen durch regelmäßige Backups, Zugriffskontrollen und Netzwerksegmentierung zu schützen.
