Siber suç, sahtekarlık yönetimi ve siber suç, fidye yazılımı
Yüksek hedefli fidye yazılımı hit uzun süredir devam eden siber başarı grubuna kadar izlendi
Mathew J. Schwartz (Euroinfosec) •
26 Mart 2025
Uzun süredir devam eden, gizli bir paralı hacker grubu, yüksek hedefli saldırılarda fidye yazılımı ile vurulan hipervizörlere çeşitlilik göstermiş gibi görünüyor.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Siber güvenlik firması Bitdefender’ın yeni bir raporu, kurumsal casusluk uzmanlarının, Earth Kapre ve Red Wolf olarak da bilinen Redcurl olarak izlediğini söyledi.
“QWCrypt adını verdiğimiz bu yeni fidye yazılımı qwc Bitdefender laboratuvarlarındaki araştırmacılar Çarşamba günü yaptığı açıklamada, yürütülebilir ürün içinde bulunur, daha önce belgelenmemiş ve bilinen fidye yazılımı ailelerinden farklıdır. “Dedi.
Bitdefender, Fidye Güvenlik Medya Grubuna, fidye yazılımlarını, geçen ayın ortasında fidye yazılımı tarafından vurulan isimsiz bir Kuzey Amerika müşterisinde bulduklarını söyledi.
Cryptoleping, ilk olarak 2018’de ortaya çıkan Redcurl için belirgin bir değişiklik gibi görünüyor. Grubun daha önce kurumsal casusluk ve veri ortaya çıkmasına odaklanan Rusça konuşan, kiralık bir hack grubu olarak çalıştı. Tipik olarak kimlik avı e -postaları aracılığıyla saldırıları başlatan çok düşük bir profil sürdürdü.
2020’de siber güvenlik firması Grup-IB, grubun Kanada, Almanya, Norveç, Ukrayna, Rusya ve Birleşik Krallık’taki en az 14 kuruluştan bilgi çaldığını bildirdi (bakınız: Redcurl Cyberispionage Gang Hedefleri Kurumsal Sırları).
Bitdefender, bir kimlik avı e -postasıyla başlayan Redcurl’a yakın tarihli bir saldırıyı atfettiğini ve daha önce grup tarafından kullanılan ve bir arka kapı araştırmacılarının izini yükleyen özel bir DLL dosyasının kurulmasına yol açtığını söyledi. RedCurl.Downloader veya Earth Kapre İndirici, saldırganlara başlangıç erişimini sağlıyor. Bu noktada, Redcurl genellikle “ağda gezinmeye, zeka toplamaya ve erişimlerini artırmaya” odağını değiştirecekti.
Bu durumda, saldırganlar fidye yazılımı da kullandılar.
Her uç noktayı ve çoğu zaman hipervizörün bir kurbanın ağına ulaşmak için şifrelemeye çalışan diğer fidye yazılımı gruplarının aksine, Bitdefender’ın araştırdığı bu saldırı sadece hipervizörleri hedefliyor gibi görünüyordu. Araştırmacılar, “Bu odaklanmış hedefleme, minimum çaba ile maksimum hasar verme girişimi olarak yorumlanabilir.” Dedi. Diyerek şöyle devam etti: “Redcurl, hipervizörlerde barındırılan sanal makineleri şifreleyerek ve bunları yapılmaz hale getirerek tüm sanallaştırılmış altyapıyı etkili bir şekilde devre dışı bırakarak barındırılan tüm hizmetleri etkiliyor.”
Saldırganlar, çalıştırdıkları toplu komut dosyaları, makine adları gibi sert kodlanmış ayrıntıları içerdiğinden, saldırılarından önce ağı dikkatlice eşlemiş gibi görünüyordu. Ağ ağ geçitleri olarak çalışan hipervizörleri şifrelememeye dikkat ettiler. “Network ağ geçitlerini çalışır durumda tutarak ve uç nokta şifrelemesinden kaçınarak Redcurl, saldırıyı BT ekibine sınırlamayı, yaygın aksamayı ve kullanıcı farkındalığını önlemeyi amaçlamış olabilir.” Dedi.
Grubun kötü amaçlı yazılımları tarafından bırakılan fidye notunun bir örneği, kurbanların grubu şu adresten e -posta göndermesini talep ediyor. edgypsin@proton.me Bir şifreleme elde etmek için, çalınan verileri DarkWeb veri sızıntısı sitesine dökmekle tehdit eder.
Bitdefender, fidye notunun Lockbit, Hardbit ve Mimik gibi gruplardan ödünç alınan bölümlerle birlikte ortaklaşa göründüğünü söyledi. Mevcut fidye not metnini yeniden düzenleme uygulaması, Redcurl grubunun kökenleri ve motivasyonları hakkında soruları gündeme getirmektedir. Özellikle, bu fidye yazılımı ile ilişkili bilinen bir özel sızıntı alanı yoktur ve fidye notunun gerçek bir gasp girişimini mi yoksa saptırmayı mı temsil ettiği belirsizdir.
Kaç kuruluş Redcurl zaten fidye yazılımı ile vurmuş olabilir ve eğer bu yolda devam ederse açık sorulardır.