Шпионская хак-группа RedCurl создала собственное вымогательское ПО - «Новости» » Интернет технологии
sitename
Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
Королевская почта Великобритании расследует возможную утечку данных - «Новости»
Королевская почта Великобритании расследует возможную утечку данных - «Новости»
РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Вымогатели Hunters International считают, что шифровальщики стали слишком опасными - «Новости»
Вымогатели Hunters International считают, что шифровальщики стали слишком опасными - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Шпионская хак-группа RedCurl создала собственное вымогательское ПО - «Новости»

Группировка RedCurl, обычно специализирующаяся на скрытом корпоративном шпионаже, начала использовать шифровальщик QWCrypt, предназначенный для атак на виртуальные машины Hyper-V.


Впервые русскоязычная хак-группа RedCurl была обнаружена специалистами Group-IB в 2020 году. Исследователи писали, что группировка активна как минимум с 2018 года, и уже тогда злоумышленники совершили ряд целевых атак на коммерческие организации, среди которых были строительные, финансовые, консалтинговые компании, а также ритейлеры, банки, страховые, юридические и туристические организации.


Жертвы группировки находились в России, Украине, Великобритании, Германии, Канаде и Норвегии, но в прошлом году стало известно, что RedCurl расширила географию своих атак, атакуя цели в Юго-Восточной Азии и Австралии.


Как предупреждают теперь исследователи Bitdefender, группировка сменила тактику и начала развертывать вымогательское ПО в сетях своих жертв.


«В большинстве случаев мы наблюдали, что RedCurl придерживается своей обычной схемы действий и продолжает похищать данные на протяжении длительных периодов времени. Но один случай выделялся. Хакеры нарушили привычную схему и впервые применили вымогательское ПО», — говорят эксперты.


Поскольку предприятия все чаще используют виртуальные машины для размещения своих серверов, вымогательские группировки следуют за трендом и создают шифровальщики, нацеленные именно на платформы виртуализации. Но если большинство вымогательских операций нацелено на серверы VMware ESXi, новое вымогательское ПО QWCrypt, которое использует RedCurl, предназначено для виртуальных машин Hyper-V.


Обнаруженные Bitdefender атаки начинаются с фишинговых писем с вложениями в формате .IMG, которые замаскированы под резюме. Файлы IMG представляют собой образы дисков, которые автоматически монтируются Windows под новой буквой при двойном клике.


Такие файлы содержат скринсейвер, уязвимый перед DLL sideloading'ом при помощи легитимного исполняемого файла Adobe, который загружает полезную нагрузку и закрепляется в системе через запланированное задание.



Шпионская хак-группа RedCurl создала собственное вымогательское ПО - «Новости»


RedCurl использует тактику living-off-the-land, чтобы спрятаться во взломанных Windows-системах, а также собственный вариант wmiexec для бокового перемещения по сети и инструмент Chisel для туннелирования/RDP-доступа.


Чтобы отключить защитные средства перед развертыванием вымогательской малвари, злоумышленники пользуются зашифрованными архивами 7z и многоэтапным процессом PowerShell.


В отличие от Windows-шифровальщиков, малварь QWCrypt поддерживает многочисленные аргументы командной строки, которые используются для кастомизации атак. К примеру, в атаках, изученных Bitdefender, RedCurl использовали аргумент --excludeVM, чтобы не шифровать виртуальные машины, которые выступали в качестве сетевых шлюзов, чтобы избежать сбоев.


При шифровании файлов QWCrypt (rbcw.exe) использует алгоритм шифрования XChaCha20-Poly1305 и добавляет к зашифрованным файлам расширение .locked$ или .randombits$.


Отмечается, что шифровальщик может использовать прерывистое или выборочное шифрование файлов в зависимости от их размера для повышения скорости работы.


Так как у RedCurl нет отдельного сайта для «слива» украденных данных и двойного вымогательства, не совсем понятно, используется ли вымогательское ПО в качестве ложного флага, или группировка действительно решила заняться вымогательством.


Исследователи полагают, что RedCurl — это группа наемников, которые предлагают свои услуги третьим сторонам, что может приводить к смешению шпионажа и финансово мотивированных атак. Также вымогательское ПО может быть отвлекающим маневром, прикрывающим кражу данных, или запасным способом монетизации доступа, если клиент не заплатил за основные услуги (сбор данных).


Другая теория исследователей гласит, что RedCurl действительно может заниматься вымогательством ради финансовой выгоды, но предпочитает действовать тихо, устраивая закрытые переговоры и не публикуя свои требования или украденные у жертв данные.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Группировка RedCurl, обычно специализирующаяся на скрытом корпоративном шпионаже, начала использовать шифровальщик QWCrypt, предназначенный для атак на виртуальные машины Hyper-V. Впервые русскоязычная хак-группа RedCurl была обнаружена специалистами Group-IB в 2020 году. Исследователи писали, что группировка активна как минимум с 2018 года, и уже тогда злоумышленники совершили ряд целевых атак на коммерческие организации, среди которых были строительные, финансовые, консалтинговые компании, а также ритейлеры, банки, страховые, юридические и туристические организации. Жертвы группировки находились в России, Украине, Великобритании, Германии, Канаде и Норвегии, но в прошлом году стало известно, что RedCurl расширила географию своих атак, атакуя цели в Юго-Восточной Азии и Австралии. Как предупреждают теперь исследователи Bitdefender, группировка сменила тактику и начала развертывать вымогательское ПО в сетях своих жертв. «В большинстве случаев мы наблюдали, что RedCurl придерживается своей обычной схемы действий и продолжает похищать данные на протяжении длительных периодов времени. Но один случай выделялся. Хакеры нарушили привычную схему и впервые применили вымогательское ПО», — говорят эксперты. Поскольку предприятия все чаще используют виртуальные машины для размещения своих серверов, вымогательские группировки следуют за трендом и создают шифровальщики, нацеленные именно на платформы виртуализации. Но если большинство вымогательских операций нацелено на серверы VMware ESXi, новое вымогательское ПО QWCrypt, которое использует RedCurl, предназначено для виртуальных машин Hyper-V. Обнаруженные Bitdefender атаки начинаются с фишинговых писем с вложениями в формате .IMG, которые замаскированы под резюме. Файлы IMG представляют собой образы дисков, которые автоматически монтируются Windows под новой буквой при двойном клике. Такие файлы содержат скринсейвер, уязвимый перед DLL sideloading'ом при помощи легитимного исполняемого файла Adobe, который загружает полезную нагрузку и закрепляется в системе через запланированное задание. RedCurl использует тактику living-off-the-land, чтобы спрятаться во взломанных Windows-системах, а также собственный вариант wmiexec для бокового перемещения по сети и инструмент Chisel для туннелирования/RDP-доступа. Чтобы отключить защитные средства перед развертыванием вымогательской малвари, злоумышленники пользуются зашифрованными архивами 7z и многоэтапным процессом PowerShell. В отличие от Windows-шифровальщиков, малварь QWCrypt поддерживает многочисленные аргументы командной строки, которые используются для кастомизации атак. К примеру, в атаках, изученных Bitdefender, RedCurl использовали аргумент --excludeVM, чтобы не шифровать виртуальные машины, которые выступали в качестве сетевых шлюзов, чтобы избежать сбоев. При шифровании файлов QWCrypt (rbcw.exe) использует алгоритм шифрования XChaCha20-Poly1305 и добавляет к зашифрованным файлам расширение .locked$ или .randombits$. Отмечается, что шифровальщик может использовать прерывистое или выборочное шифрование файлов в зависимости от их размера для повышения скорости работы. Так как у RedCurl нет отдельного сайта для «слива» украденных данных и двойного вымогательства, не совсем понятно, используется ли вымогательское ПО в качестве ложного флага, или группировка действительно решила заняться вымогательством. Исследователи полагают, что RedCurl — это группа наемников, которые предлагают свои услуги третьим сторонам, что может приводить к смешению шпионажа и финансово мотивированных атак. Также вымогательское ПО может быть отвлекающим маневром, прикрывающим кражу данных, или запасным способом монетизации доступа, если клиент не заплатил за основные услуги (сбор данных). Другая теория исследователей гласит, что RedCurl действительно может заниматься вымогательством ради финансовой выгоды, но предпочитает действовать тихо, устраивая закрытые переговоры и не публикуя свои требования или украденные у жертв данные.
CSS
запостил(а)
Ayrton
Вернуться назад

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: