Специалисты Bitdefender зафиксировали значительное изменение в тактике известной хакерской группировки RedCurl. Злоумышленники, ранее специализировавшиеся исключительно на корпоративном шпионаже, начали применять новый инструмент в своем арсенале — шифровальщик QWCrypt, специально разработанный для атак на виртуальные машины Microsoft Hyper-V.
История и эволюция RedCurl
Русскоязычная группировка RedCurl, впервые обнаруженная экспертами Group-IB в 2020 году, ведет активную деятельность с 2018 года. За это время злоумышленники успешно провели серию целевых атак на организации различных секторов, включая строительство, финансы, консалтинг, ритейл, банковский сектор и туристическую отрасль. География атак группировки постоянно расширяется: от России, Украины и европейских стран до Юго-Восточной Азии и Австралии.
Технические особенности QWCrypt
Шифровальщик QWCrypt демонстрирует высокий уровень технической сложности и специализированные возможности:
— Использование алгоритма шифрования XChaCha20-Poly1305
— Добавление расширений .locked$ или .randombits$ к зашифрованным файлам
— Поддержка различных аргументов командной строки для настройки атак
— Возможность выборочного шифрования файлов в зависимости от их размера
Методология атак
Процесс компрометации начинается с фишинговых писем, содержащих файлы формата .IMG, замаскированные под резюме. При активации вредоносного ПО используется техника DLL sideloading через легитимный исполняемый файл Adobe. Злоумышленники применяют тактику living-off-the-land и собственные инструменты для латерального перемещения в сети.
Особенности защиты от обнаружения
RedCurl использует многоэтапный процесс PowerShell и зашифрованные архивы 7z для обхода защитных механизмов. Примечательно, что группировка проявляет осторожность при проведении атак, например, исключая из шифрования критически важные виртуальные машины, выполняющие роль сетевых шлюзов.
Эксперты выдвигают несколько теорий относительно новой стратегии RedCurl. Группировка может действовать как команда наемников, предоставляющая услуги третьим сторонам, использовать шифровальщик как отвлекающий маневр или применять его в качестве альтернативного метода монетизации. Отсутствие публичного сайта для «слива» данных может указывать на предпочтение проведения закрытых переговоров с жертвами, что соответствует их традиционному подходу к операциям.
