网络安全公司 Bitdefender 报告称，一名名为 RedCurl 的俄语威胁行为者在最近的一次活动中被发现部署了勒索软件。

RedCurl也被称为 Earth Kapre 或 Red Wolf，自 2018 年以来一直活跃，专注于企业间谍活动，主要针对美国的组织，并在德国、西班牙和墨西哥发现了其他受害者。

该威胁行为者一直保持低调，使用现成的工具进行入侵和数据泄露，但最近开始使用一种名为QWCrypt 的新勒索软件，这标志着其策略发生了重大转变。

对于初始访问，该组织依靠包含 IMG 文件的网络钓鱼电子邮件，其中包含伪装成 CV 的 SCR 文件。SCR 文件是易受 DLL 侧载攻击的合法 Adobe 可执行文件的重命名副本。

加载的 DLL 会将受害者引导至登录网页，同时在后台获取有效载荷。为持久性创建的计划任务会间接执行有效载荷。

RedCurl 在攻击中部署的 QWCrypt 变体仅针对虚拟机管理程序，加密托管在其上的虚拟机并禁用组织的整个虚拟化基础架构。充当网关的虚拟机未加密，分析的批处理脚本表明这是一次高度有针对性的操作。

Bidefender 指出：“通过保持网络网关运行并避免端点加密，RedCurl 可能旨在将攻击限制在 IT 团队内，从而防止大规模破坏和用户意识。”

到目前为止，还没有证据表明 RedCurl 利用从受害者那里窃取的数据进行勒索，这显然将该威胁行为者与以经济为目的的团体区分开来，后者“很少优先窃取专有信息来获取竞争优势”。

Bitdefender 指出：“RedCurl 的收入来源和运营目标仍然笼罩在神秘之中，尤其是考虑到他们自 2018 年以来一直活跃。因此，他们的商业模式和真实动机仍不清楚。”

鉴于威胁行为者的受害者种类多样，且缺乏一致的行动模式，该网络安全公司推测其很可能以“雇佣枪手”的名义运作，这也可以解释其针对基础设施而不是端点使用勒索软件的原因。

Bitdefender 指出：“在雇佣兵模式中，勒索软件可以起到转移视线的作用，掩盖真正的目的：有针对性的数据泄露行动。RedCurl 也有可能在签订了数据泄露合同后未收到付款，这导致他们使用勒索软件作为另一种方式来赚钱。”

另一方面，该组织可以专注于保持低调的运作，针对虚拟机管理程序进行加密并与受害组织进行秘密沟通。

Bitdefender 指出：“没有通过专门的泄密网站 (DLS) 等公开的赎金要求并不一定表明 RedCurl 没有直接接触受害者。他们进行私下谈判也是有可能的，这进一步证明了他们倾向于谨慎行事，并解释了他们没有公开受害者公告的原因。”

— 欢迎关注

原文始发于微信公众号（祺印说信安）：俄罗斯间谍组织利用勒索软件发动攻击