أصبحت مجموعة الهجمات السيبرانية الناطقة بالروسية RedCurl مرتبطة بحملة برمجيات فدية لأول مرة، مما يمثل تحولًا كبيرًا في أسلوبها التقليدي الذي كان يركز على التجسس. تم توثيق هذا النشاط من قبل شركة الأمن السيبراني الرومانية Bitdefender ، حيث شمل استخدام برمجية فدية جديدة تُعرف باسم QWCrypt .
تاريخ مجموعة RedCurl
نشاط التجسس السابق
– يُعرف عن مجموعة RedCurl، المعروفة أيضًا بأسماء Earth Kapre و Red Wolf ، تنفيذها لهجمات تجسس تستهدف كيانات متعددة في دول مثل:
– كندا، ألمانيا، النرويج، روسيا، سلوفينيا، أوكرانيا، المملكة المتحدة، والولايات المتحدة.
– تنشط المجموعة منذ نوفمبر 2018 على الأقل، مستهدفة الشركات للحصول على بيانات حساسة.
أساليب الهجوم السابقة
– في 2020، استخدمت المجموعة رسائل تصيدية تحمل طابع “الموارد البشرية” لنشر البرمجيات الضارة.
– في يناير الماضي، استهدفت هجمات المجموعة شركات في كندا عبر برمجية تحميل تُعرف بـ RedLoader ، التي توفر قدرات أولية للبرمجيات الخلفية.
– في فبراير الماضي، كشفت شركة eSentire الكندية استخدام RedCurl مرفقات PDF مشبوهة متخفية كـ سير ذاتية ورسائل تغطية لتشغيل برمجيات ضارة باستخدام ملف ADNotificationManager.exe .
تفاصيل الهجوم باستخدام QWCrypt
خطوات الإصابة
– يتم توزيع الملفات عبر صور قرص قابلة للتثبيت (ISO) مموهة لتبدو كسير ذاتية.
– تحتوي الصور على ملف يشبه شاشات التوقف لنظام Windows (SCR)، وهو في الواقع ملف ADNotificationManager.exe الذي يستخدم لتشغيل برمجيات تحميل عبر تقنية DLL Side-Loading .
*تكتيكات الهندسة الاجتماعية *
– عند التنفيذ، يتم توجيه المستخدمين إلى صفحة تسجيل دخول حقيقية لموقع Indeed كوسيلة لتشتيت الانتباه، مما يمنح البرمجيات الخبيثة فرصة للعمل دون اكتشاف.
تحول جديد نحو الهجمات بالفدية
الآلية الهجومية
– تعمل البرمجيات على تحميل برمجية خلفية عبر netutils.dll وتثبيت مهام مجدولة لضمان الاستمرارية على الأجهزة المصابة.
– الهجوم يشمل تشفير الأجهزة الافتراضية المستضافة على أنظمة التحكم الافتراضية Hypervisors ، مما يعطل البنية التحتية الافتراضية بالكامل.
خصائص برمجية الفدية QWCrypt
– تتضمن البرمجية تقنية BYOVD لإيقاف برامج الحماية.
– تجمع معلومات النظام قبل البدء في عملية التشفير، وتُظهر ملاحظات فدية مستوحاة من مجموعات مثل LockBit و HardBit و Mimic .
التساؤلات حول الدوافع
– تُثير إعادة استخدام نصوص ملاحظات فدية قائمة تساؤلات حول دوافع وأصول مجموعة RedCurl.
– حتى الآن، لا يُعرف عن وجود موقع تسريب مخصص لهذه البرمجية، مما يجعل هدف الفدية غير واضح: هل هو ابتزاز حقيقي أم محاولة للتشتيت؟
