RedCurl-Ransomware attackiert Hypervisoren

Die Angreifer halten sich laut der Bitdefender-Analyse während der ganzen Attacke fern von Endpunkt-Systemen der Nutzer. Das Verschlüsseln virtueller Maschinen, die auf Hypervisoren gehosted sind, macht das Booten der Maschinen unmöglich. Die Angreifer wollen offenbar so lange wie möglich verborgen bleiben und damit einen zeitlichen Spielraum eröffnen, um mit einem kleinen Teil der Betroffenen in den Unternehmen zu verhandeln. Daher vermeiden die Urheber auch die sonst übliche Ransomware-Öffentlichkeitsarbeit in dezidierten Leak-Seiten (DLS).

Die Attacke startet mit einer klassischen Phishing-E-Mail, welche eine IMG-Datei als Lebenslauf mit der Dateierweiterung für Bildschirmschoner tarnt (CV APPLICANT 7802-91542.SCR). Mit einer .SCR lässt sich ohne weiteres eine ausführbare Datei verbergen. Die IMG-Datei als Sektor-für-Sektor-Kopie einer Speicherhardware wird nach Anklicken des vermeintlichen Lebenslaufs automatisch als Disk gemountet und die als .SCR-Datei getarnte .exe ausgeführt: Die Adobe-Anwendung bietet eine Schwachstelle für DLL-Sideloading.

Trend-Mimikri legitime Tools

Der heruntergeladene Payload verwendet LOTL-Techniken, um böswillige Aktionen hinter Aktionen tätiger legitimen Tools zu verbergen. Zu solchen Werkzeugen gehört für den initialen Zugriff die pcalua.exe-Utility als Assistenztool für Programmkompatibilität (Program Compatibility Assistant – PCA). Dieses Werkzeug dient für gewöhnlich dazu, dass ältere Softwareversionen auf neueren Windows-Versionen laufen und führt hier missbräuchlich binäre Dateien im Proxy aus. Rundll32.exe als Windows-Tool für den Betrieb von Dynamic Link Libraries (DLL) wird für bösartige DLLs zweckentfremdet. Einmal im System, nutzen die Angreifer von RedCurl Remote Windows-Tools für Administratoren wie powersehell.exe, wmic.exe, certutil.exe oder tasklist.exe. Die Ransomware-Attacke versucht auch, IT-Sicherheitssoftware zu umgehen.

Das Hauptskript der Ransomware zeichnet sich durch verschiedene Parameter aus und ermöglicht es, Backups gezielt nach Hostnamen zu löschen. Hierfür entfernt das Skript spezifische Backup-Directories und virtuelle Hard-Disk-Dateien.

Kriminelles Portfolio mit unklarer Motivation

Die seit 2018 aktive RedCurl-Gruppe, auch bekannt als Earth Kapre oder Red Wolf, war bisher vor allem für Living-off-the-Land-Techniken mit dem Ziel der Cyberspionage und Datenexfiltration bekannt. Gegen einen staatlichen Hintergrund – etwa für Cyberspionage – spricht die breite geografische Streuung vor allem in den USA, aber auch in Deutschland Spanien und Mexiko sowie – laut anderer Experten – sogar in Russland. Gegen eine finanzielle Motivation spricht, dass RedCurl bisher keine Daten verkauft hat. Ransomware in ein kriminelles Portfolio mitaufzunehmen, ist damit eine bemerkenswerte Erweiterung ihrer Taktik. Die Motive der Hacker – neben Lösegelderwerb – bleiben unklar.