Le groupe RedCurl a créé un ransomware pour chiffrer les machines virtuelles Hyper-V
Depuis 2018, le groupe RedCurl sévit discrètement dans le domaine du cyberespionnage, mais selon Bitdefender Labs, ce groupe de pirates a récemment ajouté une nouvelle arme à son arsenal : un ransomware conçu pour cibler les machines virtuelles Hyper-V. Faisons le point.
Une évolution stratégique vers le ransomware
Déjà identifié par Group-IB comme étant une menace active à l'échelle mondiale, le groupe RedCurl a intensifié ses activités ces dernières années. La grande nouveauté dans leur mode opératoire, c'est la mise au point d'un module de chiffrement destiné à chiffrer les machines virtuelles Hyper-V.
Depuis plusieurs années, de nombreux groupes de ransomwares s'intéressent de prêt aux serveurs VMware ESXi, qui sont devenus une cible prioritaire. De son côté, RedCurl a donc pris la décision de s'attaquer à Hyper-V grâce à son cryptolocker baptisé "QWCrypt".
"Nous avons vu RedCurl s'en tenir à son approche habituelle dans la plupart des cas, poursuivant l'exfiltration de données sur de longues périodes.", détaille le rapport de Bitdefender. "Cependant, un cas s'est distingué. Ils ont brisé leur routine et déployé un ransomware pour la première fois."
Ce changement de stratégie amène à se poser des questions sur les nouvelles intentions de ce groupe de pirates. "Cet écart par rapport à leur mode opératoire habituel soulève des questions essentielles sur leurs motivations et leurs objectifs opérationnels.", peut-on lire.
QWCrypt : une approche sophistiquée
Les chercheurs en sécurité ont analysé les attaques orchestrées par RedCurl avec QWCrypt. La première étape consiste à mettre au point des campagnes de phishing utilisant des fichiers ".IMG" déguisés en CV. Ces fichiers exploitent une faille de DLL sideloading via un exécutable légitime d'Adobe pour installer une charge utile et maintenir une persistance via une tâche planifiée.
RedCurl fait appel à plusieurs techniques furtives, notamment l'utilisation d'outils "living-off-the-land" et d'une version personnalisée de wmiexec pour se propager dans le réseau sans être détecté. Pour le tunneling et l'accès à distance par RDP, l'outil Chisel est employé par les cybercriminels.
QWCrypt propose des paramètres en ligne de commande qui ne laissent pas place aux doutes : sa cible, ce sont bien les machines Hyper-V. Avant de lancer l'opération de chiffrement, les pirates effectuent une analyse des machines virtuelles présentes sur l'environnement. En effet, dans les attaques observées, RedCurl a utilisé l'argument --excludeVM pour éviter de chiffrer les machines virtuelles servant de passerelles au niveau du réseau.
Parmi les paramètres de ligne de commande pris en charge, il y a ceux-ci :
--key Clé de chiffrement à utiliser
--full-enc-less La taille maximale d'un fichier pour qu'il soit chiffré en intégralité
--excludeVM Exclure des machines virtuelles
--hv Chiffrer les machines virtuelles Hyper-V
--kill Tuer le processus des VM
--turnoff Eteindre les machines virtuelles Hyper-VL'option --turnoff permet d'éteindre les machines virtuelles Hyper-V avant l'opération de chiffrement et la valeur par défaut est "vrai". Cela veut dire que l'opération de chiffrement devrait être précédée par une extinction des machines virtuelles, et donc des perturbations sur les services en production.
Lorsque l'opération est enclenchée, les fichiers chiffrés héritent des extensions .locked$ ou .randombits$. Ce ransomware, représenté par le fichier rbcw.exe s'appuie sur un algorithme de chiffrement XChaCha20-Poly1305. Enfin, la demande de rançon, intitulée "!!!how_to_unlock_randombits_files.txt$" est déposée sur la machine.
