В исследовании Bitdefender Labs представлен анализ кампании по распространению программ-вымогателей RedCurl (также известной как Earth Kapre или Red Wolf).
Описание
Группа RedCurl ранее использовала методы корпоративного кибершпионажа и утечки данных, но перешла к использованию программ-вымогателей. Новая программа-вымогатель, названная QWCrypt, отличается от известных семейств программ-вымогателей. Хотя RedCurl часто относят к кибершпионажным группам, доказательства подтверждающие эту классификацию, неубедительны.
Мотивы группы RedCurl вызывают больше вопросов, чем ответов. Они предпочитают скрытые операции и могут действовать как группа "наемных убийц". Возможно, RedCurl использовала выкупное ПО в качестве альтернативного способа монетизации своего доступа, после того как не получила оплату за эксфильтрацию данных. Они также предпочитают проводить частные переговоры с жертвами, минимизируя внимание общественности. Этот подход позволяет им проводить длительные и малозаметные операции, обеспечивая стабильный доход.
RedCurl использует социальную инженерию и фишинговые письма с файлами IMG в качестве вектора первоначального заражения. Когда жертва открывает прикреплённый файл IMG, запускается процесс заражения. Ключевая особенность новой версии вымогательского ПО RedCurl - это шифрование гипервизора, при сохранении функциональности сетевого шлюза и отказе от шифрования конечных точек. Это свидетельствует о намеренном стремлении ограничить воздействие атаки на ИТ-отдел, проводя скрытые операции.
Неясными остаются мотивы и бизнес-модель группы RedCurl. Они активны с 2018 года и основные цели операций остаются неизвестными. Однако стоит отметить, что в отрасли кибербезопасности наблюдается увеличение числа скрытых нарушений, что может указывать на то, что подобные операции становятся все более распространенными. Дальнейшее изучение деятельности группы RedCurl и ее мотивов остается важной задачей для сообщества специалистов по кибербезопасности.
Indicators of Compromise
URLs
- https://mia.nl.tab.digital/remote.php/dav/files/
- https://my.powerfolder.com/webdav/utils/elzp.txt
MD5
- 09735d305b7d6f071173fe3b62b46d9e
- 27927a73b8273dc796ddfc309ec8ecaf
- 4154c3553656e94575aeb7183969bfa0
- 5f2c5f7620b74d183e206817b723b555
- 6495356afd05dbf8661af13ef72ab887
- 8d56ac580c06baac327613202fdbf5eb
- 9f7b1afce9c8c7d9282c5e791c69e369
- a806df529a111fb453175ecdcb230d96
- add1bfb2d4b4ad083dcee40d61a12780
- c41957f965f8c38b6cedf44b62b09298
- ca1b05b97e934511a76a744b53b8eb92
- d00c86ea42958f919c702a9a416a24ce
- e58e5afa9a94ba474e465dbf919d2c51
- f19542732c33f1b908365df02a86105c
- fd3fd2f6cde9e38e92433c152892c03d
- fde874e8d442e3f0469b3d2f86a45739
