Компанія Bitdefender виявила суттєві зміни в діяльності відомого хакерського угруповання RedCurl. Група, яка раніше спеціалізувалася виключно на корпоративному шпіонажі, тепер використовує новий небезпечний інструмент – програму-вимагач QWCrypt, розроблену спеціально для атак на віртуальні машини Microsoft Hyper-V.
Історія та розвиток RedC
RedCurl, російськомовне хакерське угруповання, вперше виявлене фахівцями Group-IB у 2020 році, здійснює активні кібератаки з 2018 року. За цей час група провела численні цільові атаки на організації різних секторів економіки, включаючи будівництво, фінанси, консалтинг, роздрібну торгівлю, банківський сектор та туристичну галузь. Географія їхньої діяльності охоплює території від Східної Європи до Південно-Східної Азії та Австралії.
QWCrypt: технічний аналіз нового інструменту
Програма-вимагач QWCrypt демонструє високий рівень технічної складності та спеціалізовані можливості для атак на віртуальну інфраструктуру. Основні технічні характеристики включають:
– Використання криптографічного алгоритму XChaCha20-Poly1305
– Маркування зашифрованих файлів розширеннями .locked$ або .randombits$
– Гнучке налаштування параметрів атаки через командний рядок
– Селективне шифрування файлів залежно від їх розміру
Методологія проведення кібератак
Процес компрометації систем починається з фішингових листів, що містять файли формату .IMG, замасковані під резюме. Після активації шкідливого програмного забезпечення застосовується техніка DLL sideloading через легітимний виконуваний файл Adobe. Зловмисники використовують тактику living-off-the-land та власні інструменти для подальшого просування в мережі.
Механізми приховування та захист від виявлення
RedCurl застосовує багатоетапний процес PowerShell та зашифровані архіви 7z для обходу систем захисту. Примітно, що група проявляє обережність під час проведення атак, виключаючи з процесу шифрування критично важливі віртуальні машини, які виконують функції мережевих шлюзів.
Експерти з кібербезпеки висувають кілька гіпотез щодо нової стратегії RedCurl. Угруповання може діяти як команда найманців, надаючи послуги третім сторонам, використовувати програму-вимагач як відволікаючий маневр або застосовувати її як альтернативний метод монетизації. Відсутність публічного сайту для оприлюднення викрадених даних може свідчити про перевагу конфіденційних переговорів з жертвами, що відповідає їхньому традиційному підходу до операцій. Організаціям рекомендується посилити захист віртуальної інфраструктури та впровадити комплексні заходи кібербезпеки для протидії новим загрозам.
