MOSKAU / MÜNCHEN (IT BOLTWISE) – Die russischsprachige Hackergruppe RedCurl hat sich erstmals mit einer Ransomware-Kampagne in Verbindung gebracht, was eine bedeutende Änderung in der Vorgehensweise dieser Bedrohungsakteure darstellt.
Die russischsprachige Hackergruppe RedCurl, die bisher vor allem für Industriespionage bekannt war, hat sich nun erstmals mit einer Ransomware-Kampagne in Verbindung gebracht. Diese neue Bedrohung wurde von der rumänischen Cybersicherheitsfirma Bitdefender entdeckt und beinhaltet den Einsatz eines neuartigen Ransomware-Stamms namens QWCrypt. RedCurl, auch bekannt als Earth Kapre und Red Wolf, hat seit November 2018 zahlreiche Unternehmen in Ländern wie Kanada, Deutschland und den USA ins Visier genommen.
Frühere Angriffe von RedCurl waren durch den Einsatz von Spear-Phishing-E-Mails gekennzeichnet, die oft HR-Themen als Köder nutzten, um die Malware-Installation zu initiieren. Im Januar dieses Jahres berichtete Huntress über Angriffe auf kanadische Organisationen, bei denen ein Loader namens RedLoader mit einfachen Backdoor-Funktionen eingesetzt wurde. Im letzten Monat enthüllte die kanadische Cybersicherheitsfirma eSentire, dass RedCurl Spam-PDF-Anhänge verwendete, die als Lebensläufe getarnt waren, um Malware mithilfe des legitimen Adobe-Executables “ADNotificationManager.exe” zu sideloaden.
Bitdefender hat den Angriffspfad von RedCurl detailliert beschrieben, der mit ISO-Dateien beginnt, die als Lebensläufe getarnt sind, um eine mehrstufige Infektionsprozedur einzuleiten. Innerhalb der ISO-Datei befindet sich eine Datei, die einen Windows-Bildschirmschoner imitiert, aber tatsächlich die ADNotificationManager.exe-Binärdatei ist, die den Loader “netutils.dll” mithilfe von DLL-Sideloading ausführt. Diese Methode lenkt die Aufmerksamkeit des Opfers auf eine legitime Indeed-Login-Seite, während die Malware unbemerkt arbeitet.
Der Loader fungiert auch als Downloader für eine nachfolgende Backdoor-DLL und etabliert Persistenz auf dem Host durch eine geplante Aufgabe. Die neu abgerufene DLL wird dann mit dem Programmkompatibilitätsassistenten (pcalua.exe) ausgeführt, was den Weg für laterale Bewegungen im Netzwerk ebnet. Diese Angriffe markieren einen signifikanten Wandel in der Strategie von RedCurl, da sie nun auch Ransomware einsetzen, um maximale Schäden mit minimalem Aufwand zu verursachen.
Die Ransomware verschlüsselt virtuelle Maschinen auf Hypervisoren, was die gesamte virtualisierte Infrastruktur lahmlegt. Der Ransomware-Executable nutzt die Technik “Bring Your Own Vulnerable Driver” (BYOVD), um Endpunktsicherheitssoftware zu deaktivieren, und sammelt Systeminformationen, bevor die Verschlüsselungsroutine gestartet wird. Die Lösegeldforderung, die nach der Verschlüsselung hinterlassen wird, scheint von Gruppen wie LockBit, HardBit und Mimic inspiriert zu sein.
Interessanterweise gibt es keine bekannte dedizierte Leak-Site (DLS) für diese Ransomware, und es bleibt unklar, ob die Lösegeldforderung ein echter Erpressungsversuch oder eine Ablenkung ist. Diese Entwicklung wirft Fragen über die Ursprünge und Motivationen der RedCurl-Gruppe auf, die nun nicht mehr nur auf Industriespionage, sondern auch auf Ransomware setzt.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Professor für Design, Strategien & KI (m/w/d)
Product Owner (w/m/d) AI & ML Netzanalyse – Next Generation Energy Platform
Werkstudent Kommunikation & Content Creation mit KI (m/w/d)
KI-Spezialist / Softwareentwickler in der Medizinrobotik (m/w/d)
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "RedCurl: Vom Industriespion zur Ransomware-Bedrohung" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "RedCurl: Vom Industriespion zur Ransomware-Bedrohung" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »RedCurl: Vom Industriespion zur Ransomware-Bedrohung« bei Google Deutschland suchen, bei Bing oder Google News!