RedCurl hackers: Στρέφονται από την κατασκοπεία στο ransomware
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
RedCurl hackers: Στρέφονται από την κατασκοπεία στο ransomware
https://www.secnews.gr/644476/redcurl-hackers-strefontai-apo-kataskopeia-ransomware/
Mar 26th 2025, 18:00
by Digital Fortress
Οι hackers «RedCurl», οι οποίοι ασχολούνται με επιχειρήσεις κατασκοπείας από το 2018, στράφηκαν τώρα προς τις ransomware επιθέσεις (QWCrypt) οι οποίες στοχεύουν εικονικές μηχανές Hyper-V.
Προηγούμενες παρατηρήσεις της Group-IB έδειξαν ότι η ομάδα RedCurl είχε στοχεύσει εταιρικές οντότητες σε όλο τον κόσμο. Ωστόσο, οι ερευνητές της Bitdefender Labs λένε τώρα ότι οι φορείς απειλών έχουν αρχίσει να αναπτύσσουν και ransomware σε δίκτυα που έχουν παραβιαστεί. Επιπλέον, οι hackers κλέβουν δεδομένα των θυμάτων.
Είναι η πρώτη φορά που οι ερευνητές βλέπουν τους hackers να αναπτύσσουν ransomware.
Ενώ οι περισσότερες λειτουργίες ransomware επικεντρώνονται στη στόχευση διακομιστών VMware ESXi, το νέο ransomware "QWCrypt" που χρησιμοποιούν οι hackers RedCurl, στοχεύουν εικονικές μηχανές Hyper-V.
QWCrypt – Ransomware Επιθέσεις
Σύμφωνα με την Bitdefender, οι επιθέσεις ξεκινούν με phishing emails που περιέχουν συνημμένα ".IMG" μεταμφιεσμένα σε βιογραφικά. Τα αρχεία IMG είναι disk image files και περιέχουν ένα screensaver file ευάλωτο σε DLL sideloading (χρησιμοποιώντας ένα νόμιμο εκτελέσιμο αρχείο Adobe, το οποίο πραγματοποιεί λήψη ενός payload και ορίζει το persistence μέσω ενός scheduled task).
Δείτε επίσης: Η ομάδα ransomware Arkana λέει ότι παραβίασε την WideOpenWest
Οι hackers RedCurl χρησιμοποιούν εργαλεία "living-off-the-land" για να παραμείνουν κρυφά μέσα στα συστήματα Windows. Επίσης, χρησιμοποιούν μια custom παραλλαγή wmiexec για να εξαπλωθούν πλευρικά στο δίκτυο χωρίς να ενεργοποιηθούν εργαλεία ασφαλείας. Τέλος, χρησιμοποιείται το εργαλείο "Chisel" για tunneling/RDP access.
Για να απενεργοποιήσουν τις άμυνες πριν από την ανάπτυξη του QWCrypt ransomware, οι hackers RedCurl χρησιμοποιούν κρυπτογραφημένα αρχεία 7z και ένα PowerShell process πολλαπλών σταδίων.
Το QWCrypt υποστηρίζει πολλά command-line arguments που ελέγχουν τον τρόπο με τον οποίο ο κρυπτογραφητής θα στοχεύσει τις εικονικές μηχανές Hyper-V για να προσαρμόσει τις επιθέσεις.
Σύμφωνα με την Bitdefender, η ομάδα RedCurl χρησιμοποίησε το excludeVM argument για να αποφύγει την κρυπτογράφηση εικονικών μηχανών που λειτουργούσαν ως network gateways, για την αποφυγή διακοπής.
Κατά την κρυπτογράφηση αρχείων, το QWCrypt ('rbcw.exe') χρησιμοποιεί τον αλγόριθμο κρυπτογράφησης XChaCha20-Poly1305 και προσαρτά είτε την επέκταση .locked$ είτε την .randombits$ στα κρυπτογραφημένα αρχεία. Επίσης, υπάρχει η δυνατότητα για intermittent encryption ή επιλεκτική κρυπτογράφηση αρχείων.
Το σημείωμα λύτρων που δημιουργήθηκε από την QWCrypt ονομάζεται "!!!how_to_unlock_randombits_files.txt$".
Δείτε επίσης: Όσα πρέπει να μάθεις για το Ransomware-as-a-Service (RaaS)
Προς το παρόν, δεν έχει εντοπιστεί ένα αποκλειστικό site διαρροής δεδομένων, το οποίο εγείρει ερωτήματα σχετικά με το εάν οι hackers RedCurl χρησιμοποιούν το ransomware ως false flag ή για πραγματικές επιθέσεις εκβιασμού.
Η Bitdefender περιγράφει δύο βασικές υποθέσεις για το λόγο για τον οποίο η ομάδα RedCurl περιλαμβάνει πλέον ransomware στις επιθέσεις.
Η πρώτη υπόθεση είναι ότι η RedCurl προσφέρει υπηρεσίες σε τρίτους, κάτι που έχει ως αποτέλεσμα έναν συνδυασμό επιχειρήσεων κατασκοπείας και επιθέσεων με οικονομικά κίνητρα.
Η δεύτερη υπόθεση είναι ότι οι hackers RedCurl όντως εμπλέκονται σε λειτουργίες ransomware για να εμπλουτίσουν τις επιθέσεις τους, αλλά επιλέγουν να το κάνουν κρυφά, προτιμώντας τις ιδιωτικές διαπραγματεύσεις από τις δημόσιες απαιτήσεις για λύτρα και τις διαρροές δεδομένων.
Προστασία από ransomware
Δημιουργία αντιγράφων ασφαλείας των δεδομένων σας: Ένας από τους πιο αποτελεσματικούς τρόπους για να προστατευτείτε από μια επίθεση ransomware είναι να δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας. Αυτό διασφαλίζει ότι ακόμα κι αν τα δεδομένα σας είναι κρυπτογραφημένα από ransomware, θα έχετε ένα ασφαλές αντίγραφο που μπορεί να αποκατασταθεί χωρίς να πληρώσετε τα λύτρα.
Ενημέρωση λειτουργικού συστήματος και λογισμικού: Τα μη ενημερωμένα λειτουργικά συστήματα και λογισμικά είναι ευάλωτα σε επιθέσεις στον κυβερνοχώρο. Είναι σημαντικό να ενημερώνετε τακτικά τις συσκευές σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας και λογισμικού για να αποτρέψετε τυχόν ευπάθειες που θα μπορούσαν να χρησιμοποιηθούν από ransomware.
Προσοχή σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και συνδέσμους: Οι επιθέσεις ransomware συχνά ξεκινούν με ένα phishing email ή κακόβουλο σύνδεσμο. Είναι σημαντικό να είστε προσεκτικοί όταν ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς. Επίσης, μην κάνετε κλικ σε ύποπτους συνδέσμους. Αυτά θα μπορούσαν να οδηγήσουν στην εγκατάσταση ransomware στη συσκευή σας.
Δείτε επίσης: Το Medusa Ransomware απενεργοποιεί εργαλεία ασφαλείας με κακόβουλο driver
Χρήση λογισμικού προστασίας από ιούς: Η εγκατάσταση αξιόπιστου λογισμικού προστασίας από ιούς στις συσκευές σας μπορεί να σας βοηθήσει να εντοπίσετε και να αποτρέψετε επιθέσεις ransomware. Φροντίστε να ενημερώνετε τακτικά το λογισμικό προστασίας από ιούς για να βεβαιωθείτε ότι είναι εξοπλισμένο για να χειρίζεται νέες απειλές.
Εκπαίδευση: Ένα από τα πιο σημαντικά βήματα για την προστασία από ransomware είναι η εκπαίδευση. Είναι σημαντικό να παραμένετε ενημερωμένοι για τους πιο πρόσφατους τύπους ransοmware και τον τρόπο λειτουργίας τους. Οι οργανισμοί θα πρέπει επίσης να εκπαιδεύουν τους υπαλλήλους τους για το πώς να εντοπίζουν και να αποφεύγουν πιθανές επιθέσεις.
Εφαρμογή ισχυρών κωδικών πρόσβασης: Οι αδύναμοι ή εύκολοι κωδικοί πρόσβασης μπορούν να διευκολύνουν τους hackers να αποκτήσουν πρόσβαση στις συσκευές σας και να εγκαταστήσουν ransomware. Είναι σημαντικό να χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης και να ενεργοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων όποτε είναι δυνατόν.
Χρήση VPN: Ένα VPN κρυπτογραφεί τη σύνδεσή σας στο Διαδίκτυο και παρέχει ένα επιπλέον επίπεδο ασφάλειας έναντι επιθέσεων ransomware. Αυτό είναι ιδιαίτερα σημαντικό όταν χρησιμοποιείτε δημόσια δίκτυα Wi-Fi, τα οποία είναι συχνά μη ασφαλή και ευάλωτα σε επιθέσεις.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
RedCurl hackers: Στρέφονται από την κατασκοπεία στο ransomware
https://www.secnews.gr/644476/redcurl-hackers-strefontai-apo-kataskopeia-ransomware/
Mar 26th 2025, 18:00
by Digital Fortress
Οι hackers «RedCurl», οι οποίοι ασχολούνται με επιχειρήσεις κατασκοπείας από το 2018, στράφηκαν τώρα προς τις ransomware επιθέσεις (QWCrypt) οι οποίες στοχεύουν εικονικές μηχανές Hyper-V.
Προηγούμενες παρατηρήσεις της Group-IB έδειξαν ότι η ομάδα RedCurl είχε στοχεύσει εταιρικές οντότητες σε όλο τον κόσμο. Ωστόσο, οι ερευνητές της Bitdefender Labs λένε τώρα ότι οι φορείς απειλών έχουν αρχίσει να αναπτύσσουν και ransomware σε δίκτυα που έχουν παραβιαστεί. Επιπλέον, οι hackers κλέβουν δεδομένα των θυμάτων.
Είναι η πρώτη φορά που οι ερευνητές βλέπουν τους hackers να αναπτύσσουν ransomware.
Ενώ οι περισσότερες λειτουργίες ransomware επικεντρώνονται στη στόχευση διακομιστών VMware ESXi, το νέο ransomware "QWCrypt" που χρησιμοποιούν οι hackers RedCurl, στοχεύουν εικονικές μηχανές Hyper-V.
QWCrypt – Ransomware Επιθέσεις
Σύμφωνα με την Bitdefender, οι επιθέσεις ξεκινούν με phishing emails που περιέχουν συνημμένα ".IMG" μεταμφιεσμένα σε βιογραφικά. Τα αρχεία IMG είναι disk image files και περιέχουν ένα screensaver file ευάλωτο σε DLL sideloading (χρησιμοποιώντας ένα νόμιμο εκτελέσιμο αρχείο Adobe, το οποίο πραγματοποιεί λήψη ενός payload και ορίζει το persistence μέσω ενός scheduled task).
Δείτε επίσης: Η ομάδα ransomware Arkana λέει ότι παραβίασε την WideOpenWest
Οι hackers RedCurl χρησιμοποιούν εργαλεία "living-off-the-land" για να παραμείνουν κρυφά μέσα στα συστήματα Windows. Επίσης, χρησιμοποιούν μια custom παραλλαγή wmiexec για να εξαπλωθούν πλευρικά στο δίκτυο χωρίς να ενεργοποιηθούν εργαλεία ασφαλείας. Τέλος, χρησιμοποιείται το εργαλείο "Chisel" για tunneling/RDP access.
Για να απενεργοποιήσουν τις άμυνες πριν από την ανάπτυξη του QWCrypt ransomware, οι hackers RedCurl χρησιμοποιούν κρυπτογραφημένα αρχεία 7z και ένα PowerShell process πολλαπλών σταδίων.
Το QWCrypt υποστηρίζει πολλά command-line arguments που ελέγχουν τον τρόπο με τον οποίο ο κρυπτογραφητής θα στοχεύσει τις εικονικές μηχανές Hyper-V για να προσαρμόσει τις επιθέσεις.
Σύμφωνα με την Bitdefender, η ομάδα RedCurl χρησιμοποίησε το excludeVM argument για να αποφύγει την κρυπτογράφηση εικονικών μηχανών που λειτουργούσαν ως network gateways, για την αποφυγή διακοπής.
Κατά την κρυπτογράφηση αρχείων, το QWCrypt ('rbcw.exe') χρησιμοποιεί τον αλγόριθμο κρυπτογράφησης XChaCha20-Poly1305 και προσαρτά είτε την επέκταση .locked$ είτε την .randombits$ στα κρυπτογραφημένα αρχεία. Επίσης, υπάρχει η δυνατότητα για intermittent encryption ή επιλεκτική κρυπτογράφηση αρχείων.
Το σημείωμα λύτρων που δημιουργήθηκε από την QWCrypt ονομάζεται "!!!how_to_unlock_randombits_files.txt$".
Δείτε επίσης: Όσα πρέπει να μάθεις για το Ransomware-as-a-Service (RaaS)
Προς το παρόν, δεν έχει εντοπιστεί ένα αποκλειστικό site διαρροής δεδομένων, το οποίο εγείρει ερωτήματα σχετικά με το εάν οι hackers RedCurl χρησιμοποιούν το ransomware ως false flag ή για πραγματικές επιθέσεις εκβιασμού.
Η Bitdefender περιγράφει δύο βασικές υποθέσεις για το λόγο για τον οποίο η ομάδα RedCurl περιλαμβάνει πλέον ransomware στις επιθέσεις.
Η πρώτη υπόθεση είναι ότι η RedCurl προσφέρει υπηρεσίες σε τρίτους, κάτι που έχει ως αποτέλεσμα έναν συνδυασμό επιχειρήσεων κατασκοπείας και επιθέσεων με οικονομικά κίνητρα.
Η δεύτερη υπόθεση είναι ότι οι hackers RedCurl όντως εμπλέκονται σε λειτουργίες ransomware για να εμπλουτίσουν τις επιθέσεις τους, αλλά επιλέγουν να το κάνουν κρυφά, προτιμώντας τις ιδιωτικές διαπραγματεύσεις από τις δημόσιες απαιτήσεις για λύτρα και τις διαρροές δεδομένων.
Προστασία από ransomware
Δημιουργία αντιγράφων ασφαλείας των δεδομένων σας: Ένας από τους πιο αποτελεσματικούς τρόπους για να προστατευτείτε από μια επίθεση ransomware είναι να δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας. Αυτό διασφαλίζει ότι ακόμα κι αν τα δεδομένα σας είναι κρυπτογραφημένα από ransomware, θα έχετε ένα ασφαλές αντίγραφο που μπορεί να αποκατασταθεί χωρίς να πληρώσετε τα λύτρα.
Ενημέρωση λειτουργικού συστήματος και λογισμικού: Τα μη ενημερωμένα λειτουργικά συστήματα και λογισμικά είναι ευάλωτα σε επιθέσεις στον κυβερνοχώρο. Είναι σημαντικό να ενημερώνετε τακτικά τις συσκευές σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας και λογισμικού για να αποτρέψετε τυχόν ευπάθειες που θα μπορούσαν να χρησιμοποιηθούν από ransomware.
Προσοχή σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και συνδέσμους: Οι επιθέσεις ransomware συχνά ξεκινούν με ένα phishing email ή κακόβουλο σύνδεσμο. Είναι σημαντικό να είστε προσεκτικοί όταν ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς. Επίσης, μην κάνετε κλικ σε ύποπτους συνδέσμους. Αυτά θα μπορούσαν να οδηγήσουν στην εγκατάσταση ransomware στη συσκευή σας.
Δείτε επίσης: Το Medusa Ransomware απενεργοποιεί εργαλεία ασφαλείας με κακόβουλο driver
Χρήση λογισμικού προστασίας από ιούς: Η εγκατάσταση αξιόπιστου λογισμικού προστασίας από ιούς στις συσκευές σας μπορεί να σας βοηθήσει να εντοπίσετε και να αποτρέψετε επιθέσεις ransomware. Φροντίστε να ενημερώνετε τακτικά το λογισμικό προστασίας από ιούς για να βεβαιωθείτε ότι είναι εξοπλισμένο για να χειρίζεται νέες απειλές.
Εκπαίδευση: Ένα από τα πιο σημαντικά βήματα για την προστασία από ransomware είναι η εκπαίδευση. Είναι σημαντικό να παραμένετε ενημερωμένοι για τους πιο πρόσφατους τύπους ransοmware και τον τρόπο λειτουργίας τους. Οι οργανισμοί θα πρέπει επίσης να εκπαιδεύουν τους υπαλλήλους τους για το πώς να εντοπίζουν και να αποφεύγουν πιθανές επιθέσεις.
Εφαρμογή ισχυρών κωδικών πρόσβασης: Οι αδύναμοι ή εύκολοι κωδικοί πρόσβασης μπορούν να διευκολύνουν τους hackers να αποκτήσουν πρόσβαση στις συσκευές σας και να εγκαταστήσουν ransomware. Είναι σημαντικό να χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης και να ενεργοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων όποτε είναι δυνατόν.
Χρήση VPN: Ένα VPN κρυπτογραφεί τη σύνδεσή σας στο Διαδίκτυο και παρέχει ένα επιπλέον επίπεδο ασφάλειας έναντι επιθέσεων ransomware. Αυτό είναι ιδιαίτερα σημαντικό όταν χρησιμοποιείτε δημόσια δίκτυα Wi-Fi, τα οποία είναι συχνά μη ασφαλή και ευάλωτα σε επιθέσεις.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια