Un acteur malveillant nommé « RedCurl », connu pour ses opérations d’espionnage d’entreprise furtives depuis 2018, utilise désormais un chiffreur de ransomware conçu pour cibler les machines virtuelles Hyper-V.
Auparavant, RedCurl avait été repéré par Group-IB ciblant des entreprises du monde entier, élargissant plus tard ses opérations et augmentant le nombre de victimes.
Cependant, comme le rapportent les chercheurs de Bitdefender Labs, les auteurs de menaces ont commencé à déployer des ransomwares sur des réseaux compromis.
« Nous avons vu RedCurl s’en tenir à son manuel habituel dans la plupart des cas, en continuant l’exfiltration des données sur de plus longues périodes », lit-on dans le rapport de Bitdefender.
« Cependant, un cas s’est démarqué. Ils ont brisé leur routine et déployé des ransomwares pour la première fois. »
Alors que les entreprises se tournent de plus en plus vers des machines virtuelles pour héberger leurs serveurs, les gangs de ransomwares ont suivi la tendance, créant des chiffreurs qui ciblent spécifiquement les plates-formes de virtualisation.
Alors que la plupart des opérations de ransomware se concentrent sur le ciblage des serveurs VMware ESXi, le nouveau ransomware « QWCrypt » de RedCurl cible spécifiquement les machines virtuelles hébergées sur Hyper-V.
Attaques par chiffrement QW
Les attaques observées par Bitdefender commencent par des e-mails de phishing avec « .IMG » pièces jointes déguisées en CV. Les fichiers IMG sont des fichiers image disque qui sont automatiquement montés par Windows sous une nouvelle lettre de lecteur lorsqu’ils sont double-cliqués.
Les fichiers IMG contiennent un fichier d’économiseur d’écran vulnérable au chargement latéral de DLL à l’aide d’un exécutable Adobe légitime, qui télécharge une charge utile et définit la persistance via une tâche planifiée.
RedCurl exploite des outils « vivant hors des terres » pour maintenir la furtivité sur les systèmes Windows, utilise une variante wmiexec personnalisée pour se propager latéralement dans le réseau sans déclencher d’outils de sécurité, et utilise l’outil « Ciseau » pour l’accès tunnel/RDP.
Pour désactiver les défenses avant le déploiement du ransomware, les attaquants utilisent des archives 7z cryptées et un processus PowerShell en plusieurs étapes.
Contrairement à de nombreux chiffreurs de ransomware Windows, QWCrypt prend en charge de nombreux arguments de ligne de commande qui contrôlent la manière dont le chiffreur ciblera les machines virtuelles Hyper-V pour personnaliser les attaques.
--excludeVM string Exclude VMs (csv list)
--hv Encrypt HyperV VMs
--kill Kill VM process
--turnoff TurnOff HyperV VMs (default true)Dans les attaques vues par Bitdefender, RedCurl a utilisé l’argument exc excludeVM pour éviter de chiffrer les machines virtuelles qui agissaient comme des passerelles réseau pour éviter les perturbations.
Lors du cryptage des fichiers, les chercheurs disent que QWCrypt (‘rbcw.exe’) utilise l’algorithme de chiffrement XChaCha20-Poly1305 et ajoute soit le .verrouillé or ou .randombits extension extension des fichiers chiffrés.
Le chiffreur offre également la possibilité d’utiliser un chiffrement intermittent (saut de bloc) ou un chiffrement sélectif des fichiers en fonction de la taille pour une vitesse accrue.
La demande de rançon créée par QWCrypt est nommée « !!!comment_déverrouiller_randombits_fichiers.txt$ » et contient un mélange de texte de notes de rançon LockBit, HardBit et Mimic.
L’absence d’un site de fuite dédié à la double extorsion soulève des questions quant à savoir si RedCurl utilise un ransomware comme un faux drapeau ou pour de véritables attaques d’extorsion.
Argent, perturbation ou détournement?
Bitdefender présente deux hypothèses principales expliquant pourquoi RedCurl inclut désormais les ransomwares dans ses opérations.
La première est que RedCurl fonctionne comme un groupe de mercenaires offrant des services à des tiers, ce qui se traduit par un mélange d’opérations d’espionnage et d’attaques à motivation financière.
Dans certaines situations, le ransomware pourrait être une distraction pour couvrir le vol de données, ou une solution de rechange pour monétiser l’accès lorsqu’un client ne paie pas pour ses services principaux (collecte de données).
La deuxième théorie est que RedCurl s’engage dans des opérations de ransomware pour l’enrichissement, mais choisit de le faire en silence, préférant les négociations privées aux demandes de rançon publiques et aux fuites de données.
« Le récent déploiement de ransomwares par le groupe RedCurl marque une évolution significative de leurs tactiques », conclut Bitdefender.
« Cet écart par rapport à leur mode opératoire établi soulève des questions critiques sur leurs motivations et leurs objectifs opérationnels. »