El grupo de ciberespionaje RedCurl, activo desde 2018, ha comenzado a utilizar un ransomware llamado QWCrypt para atacar máquinas virtuales Hyper-V en redes corporativas.
¿Cómo Ataca QWCrypt?
El ataque de RedCurl comienza con una campaña de phishing donde envían correos electrónicos con archivos .IMG disfrazados como CVs.
Estos archivos son imágenes de disco que Windows monta automáticamente como una nueva unidad cuando se hace doble clic en ellos.
Dentro de estos archivos IMG, los atacantes colocan un archivo screensaver que aprovecha una vulnerabilidad de DLL sideloading para ejecutar código malicioso.
Una vez que el malware se ejecuta, RedCurl utiliza herramientas nativas de Windows, lo que le permite moverse lateralmente dentro de la red sin activar alarmas de seguridad.
Además, establece persistencia mediante tareas programadas para asegurarse de que el ataque continúe incluso después de reiniciar los sistemas.
El siguiente paso en el ataque es desactivar la defensa de las máquinas virtuales Hyper-V, apagando las máquinas virtuales antes de proceder con el cifrado.
Esta medida se toma para evitar que las máquinas virtuales que funcionan como gateways de red sean afectadas, lo que podría interrumpir el acceso a la red.
Cuando llega el momento de cifrar, el malware utiliza el algoritmo de cifrado XChaCha20-Poly1305, añadiendo las extensiones .locked$ o .randombits$ a los archivos cifrados.
Además, QWCrypt tiene la capacidad de omitir partes del proceso de cifrado o seleccionar únicamente archivos de un tamaño específico para optimizar la velocidad del ataque.
¿RedCurl Quiere Dinero o Cubrir su Espionaje?
Hipótesis 1: Ataque de distracción para ocultar robo de datos o presionar clientes que no pagan.
Hipótesis 2: Extorsión silenciosa, sin filtraciones públicas, negociando en privado.
Conclusión
RedCurl está evolucionando su estrategia, combinando espionaje y ataques financieros. Su incursión en el ransomware muestra que las amenazas corporativas son cada vez más sofisticadas y hay que tener una mayor previsión de posibles futuros ataques cada vez más rotundos.