Sự Tàn Phá của Ransomware QWCrypt do RedCurl: Báo Cáo Chi Tiết về Cuộc Tấn Công Mới

27/03/2025
2 mins read

Bài viết cung cấp thông tin chi tiết về hoạt động gần đây của nhóm tội phạm mạng RedCurl, đối tượng chuyên thực hiện gián điệp công ty, đã bắt đầu triển khai ransomware nhằm vào các máy ảo Hyper-V. Dưới đây là các điểm chính:

Hoạt động Ransomware của RedCurl

  1. Đối tượng Tấn công: RedCurl là một đối tượng tấn công nổi tiếng với các hoạt động gián điệp công ty kín đáo từ năm 2018, và hiện đã mở rộng hoạt động của mình bao gồm cả các cuộc tấn công ransomware.
  2. Trình mã hóa Ransomware: Trình mã hóa ransomware, tên là QWCrypt, được thiết kế đặc biệt để nhắm mục tiêu vào các máy ảo Hyper-V. Điều này cho thấy một sự chuyển hướng đáng chú ý từ việc chỉ tập trung vào xâm nhập dữ liệu.
  3. Phương thức Tấn công:
    • Email Lừa đảo: Các cuộc tấn công bắt đầu bằng email lừa đảo chứa các tệp .IMG được ngụy trang dưới dạng CV. Các tệp IMG này tự động được Windows gắn và cho phép kẻ tấn công thực thi mã độc.
    • Sideload DLL: Kẻ tấn công sử dụng một tệp thực thi Adobe hợp pháp để tải xuống một payload và đặt tính bền vững thông qua một tác vụ đã định trước.
    • Công cụ Sống Nhờ (LOTL): RedCurl tận dụng các công cụ LOTL để duy trì tính kín đáo trên các hệ thống Windows. Họ sử dụng một biến thể wmiexec tùy chỉnh để mở rộng mạng lưới mà không kích hoạt các công cụ bảo mật.
    • Tunneling/RDP Access: Kẻ tấn công sử dụng công cụ ‘Chisel’ để truy cập tunneling/RDP.
  4. Triển khai Ransomware:
    • Quy trình PowerShell Đa Bước: Để tắt các hệ thống phòng thủ trước khi triển khai ransomware, kẻ tấn công sử dụng các lưu trữ 7z được mã hóa và quy trình PowerShell đa bước.
    • Tùy chọn Tùy chỉnh: QWCrypt hỗ trợ nhiều tham số dòng lệnh điều khiển cách trình mã hóa sẽ tấn công các máy ảo Hyper-V, bao gồm tùy chọn loại trừ VMs cụ thể, tắt VMs Hyper-V và tùy chỉnh quy trình mã hóa.
  5. Thuật toán Mã hóa: Ransomware sử dụng thuật toán mã hóa XChaCha20-Poly1305 để mã hóa các tệp. Các tệp đã mã hóa được gán thêm phần mở rộng .locked$ hoặc .randombits$.
  6. Ghi chú Yêu cầu tiền chuộc: Ghi chú yêu cầu tiền chuộc do QWCrypt tạo ra có tên là “!!!how_to_unlock_randombits_files.txt$” và chứa sự kết hợp giữa các văn bản từ ghi chú của LockBit, HardBit, và Mimic.
  7. Động cơ Hành động: Bitdefender nêu ra hai giả thuyết chính cho sự tham gia của RedCurl vào các hoạt động ransomware:
    • Nhóm ăn cướp: RedCurl hoạt động như một nhóm mercenary cung cấp dịch vụ cho các bên thứ ba, dẫn đến sự kết hợp giữa hoạt động gián điệp và các cuộc tấn công có động cơ tài chính.
    • Làm giàu Lặng lẽ: RedCurl thực hiện các hoạt động ransomware để làm giàu nhưng thích thương lượng riêng tư thay vì công khai yêu cầu tiền chuộc và rò rỉ dữ liệu.

Kết luận

Sự triển khai QWCrypt bởi RedCurl đánh dấu một bước tiến lớn trong chiến thuật của họ, đặt ra những câu hỏi quan trọng về động cơ và mục tiêu hoạt động của họ. Việc sử dụng các kỹ thuật tiên tiến và tùy chọn tùy chỉnh khiến QWCrypt trở thành một mối đe dọa tinh vi cần các chiến lược phòng thủ toàn diện.

Tags