Cybercrime-Gruppe nimmt Hypervisors ins Fadenkreuz
Die Redcurl-Gruppe, die eher bekannt für Cyberspionage ist, ändert offenbar ihre Taktik: Statt auf Endpunkte zielt Redcurl mit einer Ransomware-Attacke nämlich auf Hypervisors ab, um möglichst lange unentdeckt zu bleiben und den grösstmöglichen Schaden anzurichten.
Cybercrime-Gruppe Redcurl hält sich von Endpunkt-Systemen fern und hat es neu auf Hypervisors abgesehen. Das ergibt eine Bitdefender-Labs-Analyse der ersten digitalen Erpressung von Redcurl. Die Angreifer seien normalerweise für Cyberspionage bekannt und jetzt auf Ransomware-Attacken umgestiegen - die Motive für den Strategiewechsel seien noch unklar.
Was Bitdefender über die neue Ransomware namens QWCrypt sagen kann, ist, dass die Cyberkriminellen sich auf Hypervisors statt auf Endpunkte fokussieren, um so lange wie möglich unentdeckt zu bleiben. Sie würden das Booten virtueller Maschinen verhindern, die auf Hypervisors gehostet sind, und Verhandlungen mit den betroffenen Unternehmen einleiten. Die übliche Öffentlichkeitsarbeit in dedizierten Leak-Seiten, die Ransomware-Attacken mit sich bringen, vermeide Redcurl dabei.
Die Kriminellen nutzen bekannte Werkzeuge
Um den Angriff einzuleiten, nutzen die Akteure laut Bitdefender eine Phishing-E-Mail, die eine IMG-Datei als Lebenslauf tarnt (CV APPLICANT 7802-91542.SCR). Mit der .SCR lasse sich wiederum eine ausführbare Datei verbergen. “Die IMG-Datei als Sektor-für-Sektor-Kopie einer Speicherhardware wird nach Anklicken des vermeintlichen Lebenslaufs automatisch als Disk gemountet und die als .SCR-Datei getarnte .exe ausgeführt”, heisst es in der Bitdefender-Analyse. Die Adobe-Anwendung biete dadurch eine Schwachstelle für DLL(Dynamic Link Library)-Sideloading.
Die heruntergeladene Payload mache sich Living-of-the-Land-Techniken, für die Redcurl bekannt sei, zu Nutze. Diese seien dazu in der Lage, böswillige Aktionen hinter Aktionen legitimer Tools zu verbergen. Ein derartiges Werkzeug sei zum Beispiel die pcalua.exe-Utility als Assistenz-Tool für Programmkompatibilität, welches für gewöhnlich ältere Softwareversionen auf neueren Windows-Versionen laufen lässt und in diesem Fall missbräuchlich binäre Dateien im Proxy ausführt.
Redcurl verwendet Bitdefender zufolge auch Rundll32.exe als Windows-Tool für den Betrieb von bösartigen DLLs. Einmal im System, sollen die Angreifer Remote Windows-Tools für Administratoren wie powersehell.exe oder tasklist.exe nutzen und versuchen, IT-Sicherheitssoftware zu umgehen. Das Hauptskript der Ransomware könne ausserdem Backups gezielt nach Hostnamen löschen, indem es spezifische Backup-Directories und virtuelle Hard-Disk-Dateien entfernt.
Während Redcurls Ransomware-Angriffe erst einmal nur in Deutschland, Spanien und den USA belegt sind, hat die Cybercrime-Gruppe Hellcat schon in der Schweiz zugeschlagen. Erst kürzlich haben sie Acsoms technisches Ticketing-System angegriffen, wie Sie hier nachlesen können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Cyberkriminelle verbreiten Malware mit gefälschten Online-Dateikonverter
Software treibt die Ausgaben für Security in die Höhe
Update: Nachrichtendienst darf virtuelle Agenten einsetzen
WatchGuard und BOLL: Jahrzehntelange Zusammenarbeit mit Zukunft
Google Chrome patcht Zero-Day-Schwachstelle
Neue Ransomware VanHelsing verbeisst sich in Windows-, Linux- und ESXi-Systeme
Cybercrime-Gruppe nimmt Hypervisors ins Fadenkreuz
Homeoffice am POS? Aber klar doch!
Oracle mutmasslich von Datendiebstahl betroffen
