Grupo de espionagem RedCurl surpreende ao utilizar ransomware em ataques

O RedCurl, um grupo russo conhecido por suas operações de espionagem cibernética e roubo de dados confidenciais, chamou a atenção recentemente ao empregar, pela primeira vez, um ransomware em suas ações.

Também identificado como Earth Kapre ou Red Wolf, o RedCurl parece estar reformulando suas estratégias. Segundo pesquisadores da Bitdefender, o grupo utilizou um novo malware chamado QWCryp, que se diferencia das variantes de ransomware já conhecidas.

Apesar de ainda recorrer a táticas tradicionais como engenharia social e spear phishing, os atacantes agora estão distribuindo arquivos IMG disfarçados de currículos por e-mail para induzir vítimas a executar o ransomware.

Uma vez que o sistema da vítima é comprometido, o RedCurl inicia a exploração da rede e coleta de informações — uma prática já conhecida no histórico do grupo. No entanto, em um caso recente, foi observado o uso de um ransomware identificado como rbcw.exe, extraído de um arquivo 7z criptografado.

De acordo com a Bitdefender, diferentemente da maioria dos grupos que distribuem suas cargas em todos os dispositivos da rede, o RedCurl focou seus ataques especificamente nos hipervisores, uma abordagem que visa paralisar toda a infraestrutura virtualizada com o mínimo de esforço. Ao criptografar máquinas virtuais nos hipervisores, as torna inoperáveis, interrompendo todos os serviços associados.

Outro ponto intrigante é o conteúdo da nota de resgate deixada pelos invasores, composta por trechos copiados de mensagens de grupos conhecidos como LockBit, HardBit e Mimic. Essa escolha levanta suspeitas sobre a real autoria da ameaça ou uma possível tentativa de confundir a investigação sobre sua origem.

Fonte: https://cybernews.com/cybercrime/redcurl-shifting-to-ransomware-operation/