2018’den beri gizli kurumsal casusluk operasyonları için bilinen ‘Redcurl’ adlı bir tehdit oyuncusu şimdi hiper-V sanal makinelerini hedeflemek için tasarlanmış bir fidye yazılımı şifrelemesi kullanıyor.
Daha önce, Redcurl dünya çapında Grup-Ib hedefleme kurumsal kuruluşları tarafından tespit edildi, daha sonra operasyonlarını genişletti ve kurban sayısını artırdı.
Bununla birlikte, Bitdefender Labs araştırmacılarının rapor ettiği gibi, tehdit aktörleri uzlaşmış ağlarda fidye yazılımı dağıtmaya başladı.
Bitdefender raporunu, “Redcurl’un çoğu durumda olağan oyun kitaplarına sadık kaldığını, daha uzun süre veri açığa çıkmasına devam ettiğini gördük.”
“Ancak, bir vaka göze çarpıyordu. Rutinlerini kırdılar ve ilk kez fidye yazılımı konuşlandırdılar.”
İşletme, sunucularını barındırmak için giderek daha fazla sanal makinelere taşındıkça, fidye yazılımı çeteleri eğilimi takip ederek sanallaştırma platformlarını özellikle hedefleyen şifrelemler oluşturdu.
Çoğu fidye yazılımı işlemi VMware ESXI sunucularını hedeflemeye odaklanırken, Redcurl’un yeni “Qwcrypt” fidye yazılımı özellikle Hyper-V’de barındırılan sanal makineleri hedefler.
Qwcrypt saldırıları
Bitdefender tarafından gözlemlenen saldırılar, CVS olarak gizlenmiş “.img” ekleri ile kimlik avı e -postalarıyla başlıyor. IMG dosyaları, Windows tarafından otomatik olarak çift tıklandıklarında yeni bir sürücü mektubu altına monte edilen disk görüntü dosyalarıdır.
IMG dosyaları, bir yükü indiren ve planlanan bir görev aracılığıyla kalıcılık ayarlayan meşru bir Adobe Yürütülebilir Müdürü kullanarak DLL kenar yüklemeye karşı savunmasız bir ekran koruyucu dosyası içerir.
Redcurl, Windows sistemlerinde gizliliği korumak için “arazi yaşama” araçlarından yararlanır, güvenlik araçlarını tetiklemeden ağa yanal olarak yayılmak için özel bir WMIExec varyantı kullanır ve tünelleme/RDP erişimi için ‘keski’ aracını kullanır.
Fidye yazılımı dağıtımından önce savunmaları kapatmak için, saldırganlar şifreli 7Z arşivi ve çok aşamalı bir PowerShell süreci kullanıyor.
Birçok Windows fidye yazılımı şifrelemesinden farklı olarak, QWCrypt, şifrelemenin saldırıları özelleştirmek için hiper-V sanal makinelerini nasıl hedefleyeceğini kontrol eden çok sayıda komut satırı argümanını destekler.
--excludeVM string Exclude VMs (csv list)
--hv Encrypt HyperV VMs
--kill Kill VM process
--turnoff TurnOff HyperV VMs (default true)Bitdefender tarafından görülen saldırılarda Redcurl, kesintiyi önlemek için ağ geçitleri olarak hareket eden sanal makineleri şifrelemekten kaçınmak için –xcludeVM argümanını kullandı.
Dosyaları şifrelerken, araştırmacılar qwcrypt’in (‘rbcw.exe’) XCHACHA20-Poly1305 şifreleme algoritmasını kullandığını ve şifrelenmiş dosyalara .locked $ veya .Randombits $ uzantısını eklediğini söylüyor.
Şifreleme ayrıca artan hız için boyuta göre aralıklı şifreleme (blok atlama) veya seçici dosya şifrelemesi kullanma seçeneği sunar.
QWCrypt tarafından oluşturulan fidye notuna “!!! how_to_unlock_randombits_files.txt $” olarak adlandırılır ve kilitbit, hardbit ve taklit fidye notlarından bir metin karışımı içerir.
Çift gasp için özel bir sızıntı alanının olmaması, Redcurl’un fidye yazılımlarını sahte bir bayrak olarak mı yoksa gerçek gasp saldırıları için mi kullanıp kullanmadığı konusunda soruları gündeme getirir.
Para, bozulma veya saptırma?
Bitdefender, Redcurl’ın neden operasyonlarında fidye yazılımı içerdiğine dair iki ana hipotezi özetliyor.
Birincisi, Redcurl’un üçüncü taraflara hizmet sunan bir paralı asker grubu olarak faaliyet göstermesi, bu da casusluk operasyonlarının ve finansal olarak motive olmuş saldırıların bir karışımı ile sonuçlanıyor.
Bazı durumlarda, fidye yazılımı veri hırsızlığını karşılamak için bir dikkat dağıtıcı veya bir müşteri birincil hizmetleri için ödeme yapamadığında (veri toplama) erişimden para kazanmak için bir geri dönüş olabilir.
İkinci teori, Redcurl’un zenginleştirme için fidye yazılımı operasyonlarına girmesi, ancak bunu sessizce yapmayı tercih etmesi ve kamu fidye talepleri ve veri sızıntıları üzerinde özel müzakereleri tercih etmesidir.
Bitdefender, “Redcurl Group’un son fidye yazılımı konuşlandırılması taktiklerinde önemli bir evrime işaret ediyor.”
Diyerek şöyle devam etti: “Yerleşik modus operandi’den bu ayrılma, motivasyonları ve operasyonel hedefleri hakkında eleştirel sorular ortaya koyuyor.”
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.