Em atividade desde 2018 realizando campanhas de espionagem contra empresas, o grupo RedCurl mudou seu modus operandi recentemente e agora está instalando um ransomware batizado de QWCrypt em sistemas de virtualização Hyper-V. A descoberta foi feita pelos investigadores do Bitdefender Labs, que identificaram esta como a primeira incursão documentada do grupo no universo do ransomware.

  • Hackers miram jogadores de Counter-Strike 2 para roubar contas do Steam
  • FBI alerta para sites que convertem PDF e MP3 e distribuem malware

Anteriormente conhecido como Earth Kapre ou Red Wolf, o RedCurl manteve-se por anos atuando discretamente com técnicas de Living-off-the-Land (LOTL) para espionagem corporativa e exfiltração de dados. Esta mudança para o uso de ransomware é uma evolução em suas táticas e levanta dúvidas sobre as motivações do grupo, que tem deixado rastros de ataques nos Estados Unidos, Alemanha, Espanha e México.

Ao contrário da maioria dos grupos de ransomware que atacam todos os endpoints ou focam em servidores VMware ESXi, o RedCurl direciona seu novo malware especificamente para sistemas Hyper-V, demonstrando um entendimento profundo da infraestrutura de suas vítimas. A estratégia sugere uma tentativa de causar danos máximos com esforço mínimo, criptografando máquinas virtuais em hipervisores enquanto deliberadamente preserva gateways de rede para manter o ataque confinado às equipes de TI.


Entre no Canal do WhatsApp do e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.

Como o QWCrypt infecta e se espalha nas redes corporativas

O ataque começa com e-mails de phishing contendo arquivos .IMG disfarçados como currículos de candidatos. Quando abertos, esses arquivos são automaticamente montados pelo Windows como unidades virtuais, exibindo um arquivo chamado “CV APPLICANT 7802-91542.SCR”. Este arquivo é, na verdade, um executável Adobe legítimo renomeado, vulnerável a sideloading de DLL.

Análise do arquivo distribuído pelo RedCurl mostra que ele é, na verdade, um executável renomeado (Imagem: Reprodução/Bitdefender Labs)

“Quando a vítima clica nesse arquivo .SCR (que, lembre-se, é apenas um .EXE renomeado), o Windows o executa. E devido à vulnerabilidade de sideloading de DLL, ele carrega automaticamente uma biblioteca contendo código malicioso chamada netutils.dll da mesma pasta”, explica o relatório do Bitdefender Labs.

Após executado, o arquivo malicioso abre imediatamente uma página de login legítima do Indeed para distrair a vítima enquanto baixa o payload final de um domínio controlado pelos atacantes. Esse payload é armazenado no diretório “%APPDATA%BrowserSpec” e uma tarefa agendada é criada para garantir persistência, utilizando ferramentas legítimas do Windows para executar atividades maliciosas sem despertar suspeitas.

Para movimentação lateral na rede, o RedCurl aproveita contas de usuário comprometidas e utiliza WMI para executar comandos em outros computadores. O grupo usa uma ferramenta de pentesting personalizada que imita técnicas encontradas em projetos como wmiexec-RegOut e wmiexec-Pro, com a vantagem de requerer apenas a porta 135 para funcionar, contornando a necessidade de conexão SMB que seria detectada por ferramentas de segurança.

Fluxograma mostra como ocorre a movimentação lateral do ransonware quando está instalado na rede corporativa (Imagem: Reprodução/Bitdefender Labs)

Quando decide implantar o ransomware, o RedCurl utiliza scripts batch personalizados com informações codificadas sobre o ambiente da vítima. O QWCrypt, extraído de um arquivo .7z criptografado, é executado com parâmetros específicos para atacar máquinas virtuais, como “–hv” para direcionar hipervisores Hyper-V e “–excludeVM” para poupar gateways de rede estratégicos.

Motivações ainda são desconhecidas

Ainda não está claro porque o RedCurl mudou sua estratégia de ataques para ransomware. Apesar disso, o Bitdefender Labs apresenta duas hipóteses principais para explicar essa evolução.

A primeira sugere que o RedCurl opera como um “mercenário cibernético”, prestando serviços sob demanda para terceiros. “Em um modelo mercenário, o ransomware poderia servir como uma distração, mascarando o verdadeiro objetivo: uma operação de exfiltração de dados direcionada”, observa o relatório. Também é possível que, após concluir um contrato de exfiltração de dados sem receber o pagamento, o grupo tenha recorrido ao ransomware como forma alternativa de monetizar seu acesso.

A segunda hipótese indica que o RedCurl pode estar priorizando operações discretas e negociações diretas com as vítimas. “A ausência de demandas de resgate publicamente visíveis, como através de um site de vazamento dedicado (DLS), não indica necessariamente que o RedCurl não esteja abordando vítimas diretamente”, explica o Bitdefender. Esta abordagem permitiria operações de baixo perfil por períodos prolongados, garantindo receita consistente e reduzindo visibilidade para autoridades policiais.

O fato de a nota de resgate do QWCrypt ser composta de seções retiradas de notas de outros grupos conhecidos, como LockBit, HardBit e Mimic, adiciona mais uma camada de mistério sobre as verdadeiras intenções do grupo, mascarando as origens e motivações do grupo RedCurl.

Perigos do QWCrypt para empresas

O QWCrypt representa uma ameaça particularmente perigosa para organizações que utilizam a infraestrutura do Microsoft Hyper-V. A estratégia de atacar especificamente hipervisores, em vez de endpoints individuais, demonstra uma ampla compreensão de como causar o máximo de dano com esforço mínimo.

“Ao criptografar as máquinas virtuais hospedadas nos hipervisores, tornando-as inicializáveis, o RedCurl efetivamente desativa toda a infraestrutura virtualizada, impactando todos os serviços hospedados”, alerta o Bitdefender Labs. Este tipo de ataque direcionado pode paralisar completamente os sistemas críticos de uma organização, comprometendo serviços essenciais e causando interrupções prolongadas.

Um aspecto importante é que o grupo exclui propositalmente VMs específicas que atuam como gateways de rede, demonstrando familiaridade com a implementação de rede da vítima. Os scripts batch usados para iniciar o ataque contêm informações codificadas sobre o ambiente, incluindo nomes de máquinas, indicando uma operação altamente direcionada. Isso revela um nível preocupante de reconhecimento prévio da infraestrutura da vítima.

Além disso, ao manter os gateways de rede operacionais e evitar a criptografia de endpoints, o RedCurl parece tentar confinar o ataque à equipe de TI, impedindo a interrupção generalizada e a conscientização do usuário. Essa abordagem extremamente discreta dificulta a detecção do ataque em seus estágios iniciais e pode retardar a resposta a incidentes, permitindo que o ransomware se espalhe mais profundamente pela infraestrutura virtualizada.

Atuação do RedCurl na campanha de infecção do QWCrypt demonstra profundo conhecimento da infraestrutura dos alvos (Imagem: DC Studio/Freepik)

Como se proteger contra ataques do QWCrypt

Para mitigar o risco de ataques de ransomwares como o QWCrypt, o Bitdefender Labs recomenda uma abordagem de segurança multinível. “Adotar uma abordagem de segurança em camadas é essencial”, afirma o relatório. “As organizações devem investir em uma variedade diversificada de controles de segurança, incluindo segmentação de rede e proteção de endpoint para criar camadas sobrepostas de defesa contra ameaças”.

Uma das principais recomendações é priorizar a prevenção contra técnicas Living-off-the-Land (LOTL), já que o RedCurl depende fortemente dessas táticas. Implemente controle rigoroso de aplicativos para limitar a execução de scripts e binários não-autorizados, mesmo aqueles assinados por fornecedores confiáveis. Proteja ambientes como PowerShell, aplicando políticas de execução e habilitando registros aprimorados. Também é crucial monitorar execuções incomuns de processos e argumentos de linha de comando, pois o RedCurl utiliza ferramentas como curl.exe e wmic.exe para atividades maliciosas.

“Apesar dos seus melhores esforços, ainda é possível que atores de ameaças modernos ultrapassem seus controles de prevenção e proteção”, alerta o relatório. Por isso, capacidades robustas de detecção e resposta são fundamentais. Seja através de produtos EDR/XDR ou como serviço (MDR), o objetivo é minimizar o tempo em que os invasores permanecem não detectados.

No que diz respeito à proteção dos dados, o Bitdefender recomenda ir além dos backups tradicionais: “implemente backups imutáveis, isolados da rede de produção, e teste regularmente os procedimentos de recuperação”. Tenha cuidado com soluções de backup que dependem de Cópias de Volume Shadow, pois estas são frequentemente alvos do QWCrypt, que tem como configuração padrão a exclusão desses volumes.

Por fim, a inteligência avançada de ameaças pode fornecer insights críticos sobre ataques como os do RedCurl. “As soluções certas de inteligência de ameaças podem fornecer informações críticas sobre ataques”, conclui o Bitdefender Labs, reforçando que implementar essas recomendações pode fortalecer significativamente as defesas das organizações contra adversários sofisticados como o RedCurl.

Leia mais no :

  • Malware VenomRAT rouba dados e pode escapar de antivírus; veja como se proteger
  • Botnet BADBOX 2.0 infecta 1 milhão de aparelhos Android; 37% estão no Brasil
  • Hacker quebra criptografia do ransomware Akira usando GPUs GeForce RTX 4090

Leia mais matérias no ItechNews .