RedCurl, російська кібершпигунська група, найбільш відома кібершпигунством і викраденням даних, несподівано вперше застосувала програмне забезпечення-вимагач.
Згідно з дослідженням Bitfedender, група кіберзлочинців RedCurl, також відома як Earth Kapre або Red Wolf, змінює або розширює свою тактику з першим розгортанням QWCryp, нової шкідливої програми, що відрізняється від інших сімейств програм-вимагачів.
Хакери, які традиційно зламали пристрої за допомогою соціальної інженерії та підводного фішингу, все ще покладаються на ці методи. Вони надсилали фішингові електронні листи з файлами IMG, замаскованими під документи CV, щоб спокусити користувачів залучити їхнє програмне забезпечення-вимагач.
Після зламу пристрою група починає навігацію мережею, збирає розвідувальну інформацію та зазвичай продовжує викрадання даних протягом тривалих періодів часу.
Однак у нещодавньому прикладі дослідники Bitdefender помітили, що в ньому використовується програма-вимагач під назвою rbcw.exe, розгорнута із зашифрованого архіву 7z.
“У той час як більшість груп програм-вимагачів розгортають свої корисні навантаження на всіх кінцевих точках, а деякі поширюються на гіпервізори, RedCurl націлений лише на гіпервізори. Це цілеспрямоване націлювання можна інтерпретувати як спробу завдати максимальної шкоди з мінімальними зусиллями”, – стверджує Bitdefender у дописі в блозі.
«Шляхом шифрування віртуальних машин, розміщених на гіпервізорах, роблячи їх неможливими для завантаження, RedCurl відключає всю віртуалізовану інфраструктуру, впливаючи на всі розміщені служби».
Аналіз повідомлення про викуп Bitdefender показує, що воно складається з розділів, взятих із записів про викуп інших відомих груп програм-вимагачів, зокрема LockBit, HardBit і Mimic. Це викликає питання про походження та мотивацію групи.
Група найманців зброї?
Дослідники припускають, що розгортання програм-вимагачів RedCurl може означати, що вони діють як збройні угруповання, оскільки мають різноманітну віктимологію та не мають чіткої послідовної моделі роботи.
“У моделі найманців програмне забезпечення-вимагач може служити відволіканням, маскуючи справжню мету: цілеспрямовану операцію з вилучення даних. Також можливо, що RedCurl, який завершив контракт на викрадання даних, не отримав оплати, що змусило їх використовувати програмне забезпечення-вимагач як альтернативний спосіб монетизації свого доступу”, – стверджує Bitdefender.
Інше пояснення полягає в тому, що RedCurl надає перевагу стриманим, прямим переговорам із жертвами, мінімізуючи увагу громадськості. Здається, він обмежує вплив атаки на ІТ-відділ за допомогою шифрування гіпервізора, зберігаючи при цьому функціональність мережевого шлюзу та уникаючи шифрування кінцевої точки.
Ця стратегія свідчить про те, що RedCurl віддає перевагу малопрофільним операціям, які забезпечують постійний дохід у широкій клієнтській базі та зменшують його видимість для правоохоронних органів.
Кібершпигунська група RedCurl несподівано розгортає програми-вимагачі
