Si chiama RedCurl QWCrypt la sofisticata variante di ransomware scoperta e monitorata dai ricercatori di Bitdefender, che si distingue per la capacità di eludere i sistemi di sicurezza e di causare danni significativi alle organizzazioni prese di mira. Nel report dettagliato pubblicato sul blog ufficiale dell’azienda, gli esperti sottolineano prima di tutto che RedCurl QWCrypt non è un ransomware generico distribuito indiscriminatamente: sembra essere progettato ad-hoc per colpire aziende e organizzazioni con determinate caratteristiche e che operano in settori specifici. Al contrario di altre indagini, quest’ultima non si riallaccia al tema del cyberspionaggio.

Il modus operandi

Gli attaccanti conducono una fase di ricognizione approfondita prima di lanciare l'attacco, per darsi tempo e modo di studiare attentamente le proprie vittime e individuare il modo per massimizzare le possibilità di successo. Il ransomware è composto da diversi moduli, ciascuno dei quali svolge una funzione specifica. Sono scritti in diversi linguaggi di programmazione, ostacolando l'analisi e la decifratura del codice.

Il processo di infezione inizia solitamente con l'invio di una email di phishing con un allegato dannoso, che può essere un documento di Microsoft Office o un file PDF con codice malevolo. Quando la vittima apre l'allegato il codice malevolo viene eseguito e inizia il processo di infezione. Il primo passo è l’installazione del malware, con conseguente avvio della comunicazione con il server di comando e controllo usato dagli attaccanti per inviare comandi al ransomware e ricevere informazioni sui sistemi compromessi.

Una particolarità di RedCurl QWCrypt è la capacità di rimanere nascosto per lunghi periodi di tempo, usando tecniche per eludere i sistemi di sicurezza, fra cui l'offuscamento del codice e l’abuso di tecniche di anti-debugging, per impedire ai ricercatori di analizzare il codice in un ambiente di debug. RedCurl QWCrypt si muove lateralmente all'interno della rete grazie all’uso di credenziali rubate o compromesse, compromettendo un numero sempre maggiore di dispositivi. Così facendo gli attaccanti operano indisturbati per settimane o addirittura per mesi, collezionando informazioni sensibili e preparando il terreno per l'attacco finale.

La fase finale dell'attacco consiste nella cifratura dei file presenti sui sistemi compromessi. RedCurl QWCrypt utilizza un algoritmo di crittografia AES-256 per rendere inaccessibili alle vittime diversi tipi, tra cui documenti, immagini, video e file di database. Successivamente, il ransomware visualizza un messaggio con la richiesta di riscatto in cambio della chiave di decifrazione. Ovviamente non vi è alcuna garanzia che gli attaccanti rispetteranno i patti: è questo uno dei motivi per i quali è importante non pagare il riscatto.

Chi sono gli attaccanti

Nelle indagini sugli attacchi è importante comprendere chi sono gli attaccanti e qual è il loro scopo. Nel caso specifico, RedCurl è un gruppo di threat actor attivo dal 2018 storicamente associato a operazioni di cyberspionaggio, tuttavia la variante QWCrypt è palesemente orientata al profitto economico. La combinazione di spionaggio industriale e ransomware lascia aperte molte domande sul modello di business di questi attaccanti.

Gli esperti stanno soppesando due possibili opzioni. La prima riguarda una categorizzazione come mercenari informatici (gun-for-hire), quindi che operano su commissione, cambiando obiettivi e modalità operative a seconda dei contratti. La spiegazione trova giustificazione nella diversificazione geografica delle vittime (Stati Uniti, Germania, Spagna, Russia) e nella mancanza di un pattern coerente. In questo quadro, il ransomware potrebbe servire come distrazione tattica per mascherare operazioni di esfiltrazione dati, o come alternativa monetaria in caso di mancato pagamento da parte di un cliente.

La seconda ipotesi è quella della volontà di muoversi nell’ombra. Questi attaccanti usano tecniche come il sideloading di DLL legittime e l’abuso di strumenti Living off the Land (LOTL) indica che sono sintomatici di una volontà di condurre azioni a basso impatto visibile. L’ipotesi è confortata anche dall’assenza di siti di rivendicazione e dalla crittografia mirata agli hypervisor, che non compromette i gateway di rete così da favorire le negoziazioni private con il dipartimento IT delle vittime.

Ovviamente non è da escludere a priori la possibile combinazione di queste due ipotesi, ossia un profilo ibrido in cui obiettivi strategici e finanziari coesistono in un quadro operativo ancora non del tutto chiaro. Sulla pagina di Bitdefender sono pubblicati i dettagli tecnici noti e gli Indicatori di Compromissione.