Redcurl tarafından hedeflenen hipervizör saldırılarında kullanılan roman Qwcrypt fidye yazılımını keşfedin. Bu makale, DLL sideloading ve LOTL istismarı da dahil olmak üzere taktiklerini detaylandırıyor ve grubun gelişen siber suç faaliyetlerini araştırıyor.
Bitdefender Labs, uzun süredir devam eden siber tehdit grubunun operasyonel taktiklerinde bir değişim olduğunu ortaya koydu. Redcurl. Earth Kapre veya Red Wolf olarak da bilinen bu grup, tarihsel olarak düşük bir profili sürdürdü ve gizli veri açığa çıkmasına dayanıyor. Artık faaliyetlerinde dramatik bir değişikliğe işaret eden yeni bir fidye yazılımı kampanyasına bağlandı. Qwcrypt olarak adlandırılan bu yeni fidye yazılımı suşu, hiper -geyikleri hedefliyor ve gizli bir varlığı korurken altyapıyı etkili bir şekilde sakatlıyor.
“Bu yeni fidye yazılımı… daha önce belgelenmemiş ve bilinen fidye yazılımı ailelerinden farklı” rapor Devletler.
Bu keşif, Redcurl’un 2018’deki ortaya çıkışlarından bu yana büyük ölçüde şaşırtıcı kalan operasyonel modelinin yeniden değerlendirilmesini istemektedir. Grubun hedefleme kalıpları sınıflandırmalarını daha da karmaşıklaştırmaktadır.
Telemetri verileri öncelikle ABD’de kurbanlara işaret ederken, Almanya, İspanya ve Meksika’da ek hedeflerle, diğer araştırmacılar, devlet destekli aktörler için geniş bir coğrafi kapsam atipik olan Rusya’da hedefler bildirmişlerdir. Fidye yazılımı operasyonlarında yaygın bir uygulama olan çalınan verileri satan Redcurl’ın tarihsel kanıtlarının olmaması, gizeme katkıda bulunur.
Karşı Yaşayan (LOTL)
Grup, DLL kenar yükleme ve kötüye kullanımı dahil olmak üzere sofistike teknikler kullanır. Toprağı yaşama (LOTL) Stratejiler, hepsi genel sızıntı alanlarının kullanımından kaçınırken, tipik fidye yazılımı işlemlerinden kritik bir değişim.
Redcurl tarafından fidye yazılımı dağıtımında kullanılan ilk erişim vektörü, önceki kampanyalarıyla tutarlı olmaya devam ediyor: CV belgeleri olarak gizlenmiş IMG dosyalarını içeren kimlik avı e -postaları. Bu dosyalar, açıldığında, kötü amaçlı bir DLL yükleyen kötü amaçlı bir ekran koruyucu dosyası yürütür. Bu DLL daha sonra, algılamadan kaçınmak için şifreli dizeler ve meşru pencereler kullanarak son yükü indirir.
Ağın içine girdikten sonra Redcurl, zeka toplamak ve erişimi artırmak için WMI ve diğer yerleşik pencereler kullanılarak yanal hareket tekniklerini kullanır. Grubun SMB bağlantılarını atlayan değiştirilmiş bir WMIExec aracı kullanımı ve bir TCP/UDP tünelleme aracı olan keski, sofistike yaklaşımlarını vurgular.
Fidye yazılımı dağıtımının kendisi yüksek hedeflidir. Redcurl, uç nokta güvenliğini devre dışı bırakmak ve fidye yazılımının yürütülebilir yapılabilir RBCW.exe’yi başlatmak için toplu iş dosyalarını kullanır, bu da sanal makineleri şifreleyen Xchacha20-poly1305 Şifreleme ve ağ ağ geçitlerini hariç tutar.
Dosya ayrıca kurban kimliği için sabit kodlanmış bir kişisel kimlik içerir. Araştırmacılar, fidye notu orijinal değil, diğer fidye yazılımı gruplarından bölümlerin bir derlemesi olduğunu iddia ediyor. Ayrıca, özel bir veri sızıntısı sitesinin olmaması, Redcurl’un nedenlerinin anlaşılmasını daha da karmaşıklaştırır.
Bitdefender’ın hipotezleri
Bitdefender, Redcurl’un alışılmadık davranışını açıklamak için iki potansiyel hipotez öneriyor. Birincisi, çeşitli mağdurlarını ve tutarsız operasyonel kalıplarını açıklayarak “kiralama için silah” siber paralı askerler olarak faaliyet gösterebileceklerini gösteriyor.
İkinci hipotez, Redcurl’ın kurbanlarla sağduyulu, doğrudan müzakerelere öncelik verdiğini ve genişletilmiş, düşük profilli operasyonların sürdürülmesine kamuoyunun dikkatinden kaçındığını öne sürüyor. Bu teori, ağ ağ geçitlerini korurken grubun hipervizörleri hedeflemesi ile desteklenerek, aksamayı sınırlama ve saldırıyı BT departmanlarıyla sınırlama girişimini önermektedir.
Sonuç olarak, Bitdefender çok katmanlı bir savunma stratejisi, gelişmiş tespit ve yanıt yetenekleri ve Redcurl gibi grupların ortaya koyduğu riskleri azaltmak için LOTL saldırılarını önlemeye odaklanmaktadır. Ayrıca veri koruma, esneklik ve gelişmiş tehdit istihbaratının önemini vurgulamaktadırlar.