Bitdefender ha pubblicato una nuova ricerca che documenta il primo utilizzo noto di ransomware da parte di RedCurl, un gruppo di criminali informatici attivo da tempo, precedentemente classificato dal settore della sicurezza informatica come gruppo dedito allo spionaggio. Bitdefender ha identificato e denominato il nuovo ceppo di malware con il nome QWCrypt.
RedCurl ha ampliato il suo raggio d’azione integrando il ransomware per prendere di mira gli hypervisor anziché gli endpoint e distribuendo QWCrypt che paralizza l’infrastruttura tenendo all’oscuro gli utenti finali durante tutte le fasi dell’attacco.
Il report mette in discussione ciò che oggi conosciamo di RedCurl e le reali motivazioni – mercenari informatici o ricattatori ibridi – analizzando attentamente le loro tattiche e tecniche. Tra queste spiccano il sideloading di DLL, l’abuso delle tecniche “Living off the Land” (LOTL) e la distribuzione furtiva di ransomware, priva di un sito pubblico per la divulgazione dei dati.
Risultati principali:
- Bitdefender ha documentato il primo caso noto di RedCurl che utilizza il ransomware come parte della propria strategia.
- RedCurl sta utilizzando un nuovo ceppo di ransomware, denominato QWCrypt, che prende di mira gli hypervisor invece degli endpoint, mantenendo l’attacco nascosto agli utenti finali durante tutte le sue fasi.
- Sulla base di un’analisi dettagliata delle tattiche impiegate, Bitdefender ipotizza diverse possibili motivazioni dietro le azioni di RedCurl, supponendo che il gruppo possa essere composto da mercenari informatici o ricattatori ibridi.
- Bitdefender ha rilevato gli attacchi ransomware RedCurl negli Stati Uniti, in Spagna e in Germania.
Come ridurre il rischio di attacchi ransomware simili a quello messo in atto da RedCurl
- Implementare una difesa a più livelli: l’adozione di un approccio alla sicurezza a più livelli è essenziale. Le aziende dovrebbero investire in una gamma diversificata di controlli di sicurezza, tra cui la segmentazione della rete e la protezione degli endpoint, per creare livelli sovrapposti di difesa contro le minacce informatiche.
- Adottare una soluzione di rilevamento e risposta: che si tratti di una soluzione EDR, XDR o di un servizio MDR, l’obiettivo è ridurre al minimo il tempo in cui i criminali informatici vengono individuati. Il team MDR di Bitdefender effettua una ricerca proattiva in un ambiente per individuare attività dannose, sospette o a rischio che hanno eluso il rilevamento da parte degli strumenti esistenti. Utilizza l’analisi comportamentale e il rilevamento delle anomalie per identificare le attività sospette, come il tunneling insolito tramite strumenti come chisel o l’esecuzione remota con wmiexec-RegOut.
- Dare priorità alla prevenzione degli attacchi LOTL (Living-off-the-Land): quasi tutti i criminali informatici moderni abusano di strumenti di sistema legittimi per scopi dannosi, per questo è necessario concentrarsi sulla prevenzione e sul rilevamento degli attacchi LOTL. Implementare un controllo rigoroso delle applicazioni per limitare l’esecuzione di script e file binari non autorizzati, anche quelli firmati da fornitori affidabili. Proteggere PowerShell e altri ambienti di scripting applicando i criteri di esecuzione e attivando una registrazione avanzata. Monitorare le esecuzioni insolite dei processi e gli argomenti della riga di comando, poiché RedCurl sfrutta strumenti come curl.exe e wmic.exe per attività dannose. Inoltre, limitare i privilegi amministrativi e implementate principi di privilegio minimo per limitare l’impatto degli account
- Migliorare la protezione dei dati e la resilienza: sebbene i backup siano spesso considerati una difesa fondamentale contro il ransomware, di solito sono meno efficaci di quanto si pensi. Implementare backup immutabili, isolati dalla rete di produzione, e testare regolarmente le procedure di ripristino. Fare attenzione alle soluzioni di backup che si basano sulle Shadow Volume Copies, poiché queste sono spesso prese di mira e cancellate dal ransomware, come dimostra l’eliminazione predefinita dei volumi shadow da parte di RedCurl. Crittografare i dati sensibili a riposo e in transito per ridurre al minimo l’impatto delle violazioni dei dati.
- Adottare una soluzione di threat Intelligence avanzata: Le giuste soluzioni di threat intelligence possono fornire informazioni critiche sugli attacchi. Bitdefender IntelliZone consolida tutte le informazioni raccolte sulle operazioni di RedCurl. Se si dispone già di un account Intellizone, è possibile trovare ulteriori informazioni sulla struttura alla voce Threat ID XYZ.
