Bitdefender hat eine neue Angriffswelle der Bedrohungsakteuere RedCurl aufgedeckt. Sie richtet sich gezielt auf Hypervisoren anstatt auf Endpunkte. Die Angreifer sind demnach darauf aus, möglichst lange unentdeckt zu bleiben zugleich einen maximalen Schaden anzurichten.
Neben DLL-Sideloading und bösartigem Malware-Code kommen der Analyse zufolge vor allem legitime Tools für Living-of-the-Land-Attacken (LOTL) zum Einsatz. Backups von Hypervisoren werden zudem gezielt gelöscht. Belegt sind Angriffe auch in Deutschland.
Die Angreifer sollen sich während der ganzen Attacke fern von Endpunkt-Systemen der Nutzer halten. Zum einem diene der ausschließliche Angriff auf Hypervisoren dem Zweck, mit minimalem Aufwand einen maximalen Schaden anzurichten, so Bitdefender weiter. Das Verschlüsseln virtueller Maschinen, die auf Hypervisoren gehosted sind, mache das Booten der Maschinen unmöglich. Zum zweiten wollten die Angreifer offenbar so lange wie möglich verborgen bleiben und damit einen zeitlichen Spielraum eröffnen, um mit einem kleinen Teil der Betroffenen in den Unternehmen zu verhandeln – vor allem allein mit dem IT-Team. Daher sollen die Urheber auch die sonst übliche Ransomware-Öffentlichkeitsarbeit in dezidierten Leak-Seiten (DLS – Dedicated Leak Sites) vermeiden.
Die Attacken mit klassischen Phishing-E-Mails. Sie enthalten eine IMG-Datei als Lebenslauf, die mit der Dateierweiterung .scr eines Bildschirmschoners getarnt ist. „Mit einer .scr lässt sich ohne weiteres eine ausführbare Datei verbergen. Die IMG-Datei als Sektor-für-Sektor-Kopie einer Speicherhardware wird nach Anklicken des vermeintlichen Lebenslaufs automatisch als Disk gemountet und die als .scr-Datei getarnte .exe ausgeführt: Die Adobe-Anwendung bietet eine Schwachstelle für DLL-Sideloading“, teilte Bitdefender mit.
Bitdefender benennt die neue Ransomware QWCrypt. Die seit 2018 aktive RedCurl-Gruppe, auch bekannt als Earth Kapre oder Red Wolf, war bisher vor allem für Living-off-the-Land-Techniken mit dem Ziel der Cyberspionage und Datenexfiltration bekannt. Gegen einen staatlichen Hintergrund – etwa für Cyberspionage – spricht den Sicherheitsforschern zufolge die breite geografische Streuung vor allem in den USA, aber auch in Deutschland, Spanien und Mexiko sowie – laut anderer Experten – sogar in Russland. Gegen eine finanzielle Motivation spreche, dass RedCurl bisher keine Daten verkauft habe. Ransomware in ein kriminelles Portfolio mitaufzunehmen, sei damit eine bemerkenswerte Erweiterung der Taktik von RedCurl. Die Motive der Hacker – neben Lösegelderwerb – seien unklar.
Neueste Kommentare
Noch keine Kommentare zu RedCurl greift Hypervisoren mit Ransomware an
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.