СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
27.03.2025
#Dev#ИБ

RedCurl: Эволюция атак с программами-вымогателями

RedCurl: Эволюция атак с программами-вымогателями

Источник: www.bitdefender.com

Недавний анализ кампании по борьбе с программами-вымогателями, приписываемой группе RedCurl, также известной как Earth Kapre или Red Wolf, выявил сдвиг в их тактике от корпоративного кибершпионажа к внедрению программ-вымогателей. Эта кампания особенно заметна использованием ранее недокументированной программы-вымогателя, известной как QWCrypt.

Изменение тактики и методологии группировки

RedCurl фокусируется на атаках, нацеленных на гипервизоры, вместо традиционного шифрования конечных точек. Это может свидетельствовать о возможной стратегии сдерживания ущерба для ИТ-отделов, позволяя вести скрытные переговоры с жертвами.

Методы первоначального доступа

Группа использует передовые техники для первоначального доступа, основанные на:

  • Социальной инженерии;
  • Фишинговых электронных письмах с вложениями в виде файлов IMG, замаскированных под резюме.

После открытия таких вложений загружается вредоносный файл, использующий технологии дополнительной загрузки библиотеки DLL для выполнения команд через powershell.exe, wmic.exe и certutil.exe, что позволяет сохранять скрытность.

Технические детали атаки

В процессе атаки была обнаружена модифицированная версия инструмента wmiexec, использующая только порт 135, что позволяет обходить стандартный мониторинг SMB. Программа-вымогатель, помеченная как rbcw.exe, имеет пакет UPX и при запуске шифрует виртуальные машины на гипервизорах, при этом избегая шифрования конечных точек.

Атака осуществляется с помощью специально созданных пакетных файлов, которые отключают программное обеспечение безопасности, например, Windows Defender и Bitdefender. Эти сценарии используют жестко запрограммированные команды для оптимизации атаки в зависимости от конкретной среды, что указывает на индивидуальный подход группы.

Новые масштабы деятельности

Несмотря на то что традиционно операции RedCurl сосредотачивались на вывозе данных, внедрение программ-вымогателей вызывает серьёзные вопросы относительно их мотивации и намерений.

Действия группы, по-видимому, отличаются от предыдущих, так как отсутствуют сведения о требованиях о выкупе или попытках вернуть данные жертвам, что является необычным для финансово мотивированных групп.

Заключение

Стратегическое решение RedCurl отказаться от специального сайта для утечек информации или публичных требований о выкупе может указывать на их предпочтение частных переговоров и повышенное внимание к анонимности. Учитывая их неясные мотивы и необычные действия в прошлом, мониторинг их будущих деятельности станет ключевым для понимания эволюции ландшафта угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: