RedCurl: Vom Industriespion zur Ransomware-Bedrohung

MOSKAU / MÜNCHEN (IT BOLTWISE) – Die russischsprachige Hackergruppe RedCurl hat sich erstmals mit einer Ransomware-Kampagne in Verbindung gebracht, was eine bedeutende Änderung in der Vorgehensweise dieser Bedrohungsakteure darstellt.

Die russischsprachige Hackergruppe RedCurl, die bisher vor allem für Industriespionage bekannt war, hat sich nun erstmals mit einer Ransomware-Kampagne in Verbindung gebracht. Diese neue Bedrohung wurde von der rumänischen Cybersicherheitsfirma Bitdefender entdeckt und beinhaltet den Einsatz eines neuartigen Ransomware-Stamms namens QWCrypt. RedCurl, auch bekannt als Earth Kapre und Red Wolf, hat seit November 2018 zahlreiche Unternehmen in Ländern wie Kanada, Deutschland und den USA ins Visier genommen.

Frühere Angriffe von RedCurl waren durch den Einsatz von Spear-Phishing-E-Mails gekennzeichnet, die oft HR-Themen als Köder nutzten, um die Malware-Installation zu initiieren. Im Januar dieses Jahres berichtete Huntress über Angriffe auf kanadische Organisationen, bei denen ein Loader namens RedLoader mit einfachen Backdoor-Funktionen eingesetzt wurde. Im letzten Monat enthüllte die kanadische Cybersicherheitsfirma eSentire, dass RedCurl Spam-PDF-Anhänge verwendete, die als Lebensläufe getarnt waren, um Malware mithilfe des legitimen Adobe-Executables “ADNotificationManager.exe” zu sideloaden.

Bitdefender hat den Angriffspfad von RedCurl detailliert beschrieben, der mit ISO-Dateien beginnt, die als Lebensläufe getarnt sind, um eine mehrstufige Infektionsprozedur einzuleiten. Innerhalb der ISO-Datei befindet sich eine Datei, die einen Windows-Bildschirmschoner imitiert, aber tatsächlich die ADNotificationManager.exe-Binärdatei ist, die den Loader “netutils.dll” mithilfe von DLL-Sideloading ausführt. Diese Methode lenkt die Aufmerksamkeit des Opfers auf eine legitime Indeed-Login-Seite, während die Malware unbemerkt arbeitet.

Der Loader fungiert auch als Downloader für eine nachfolgende Backdoor-DLL und etabliert Persistenz auf dem Host durch eine geplante Aufgabe. Die neu abgerufene DLL wird dann mit dem Programmkompatibilitätsassistenten (pcalua.exe) ausgeführt, was den Weg für laterale Bewegungen im Netzwerk ebnet. Diese Angriffe markieren einen signifikanten Wandel in der Strategie von RedCurl, da sie nun auch Ransomware einsetzen, um maximale Schäden mit minimalem Aufwand zu verursachen.

Die Ransomware verschlüsselt virtuelle Maschinen auf Hypervisoren, was die gesamte virtualisierte Infrastruktur lahmlegt. Der Ransomware-Executable nutzt die Technik “Bring Your Own Vulnerable Driver” (BYOVD), um Endpunktsicherheitssoftware zu deaktivieren, und sammelt Systeminformationen, bevor die Verschlüsselungsroutine gestartet wird. Die Lösegeldforderung, die nach der Verschlüsselung hinterlassen wird, scheint von Gruppen wie LockBit, HardBit und Mimic inspiriert zu sein.

Interessanterweise gibt es keine bekannte dedizierte Leak-Site (DLS) für diese Ransomware, und es bleibt unklar, ob die Lösegeldforderung ein echter Erpressungsversuch oder eine Ablenkung ist. Diese Entwicklung wirft Fragen über die Ursprünge und Motivationen der RedCurl-Gruppe auf, die nun nicht mehr nur auf Industriespionage, sondern auch auf Ransomware setzt.

Zu den Top-Stories!

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!

Angebot

1.958 Bewertungen

EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner

• NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.

169,00 EUR

Bei Amazon kaufen