Ransomware ohne Erpressung RedCurl attackiert mit neuer Ransomware virtuelle Maschinen

Anbieter zum Thema

Bitdefender GmbH

FAST LTA GmbH

SEPPmail - Deutschland GmbH

Die bereits bekannte Hackergruppe RedCurl hat ihre Taktik verändert. Statt Cyberspionage setzt sie auf Ransomware, bisher jedoch ohne ihre Opfer zu erpressen. Bitdefender hat die Ransomware genauer untersucht.

Bitdefender Labs nennt eine neu entdeckte Ransomware „QWCrypt“. Hinter der neuen Verschlüsselungs-Malware stecke die bereits bekannte Hackergruppe RedCurl, die auch als Earth Kapre oder Red Wolf bekannt und seit 2018 aktiv ist. Sie habe bisher Living-off-the-Land-Angriffstechniken (LOTL) zur Cyberspionage und Datenexfiltration genutzt. Doch die breite geografische Streuung der Angriffe spreche gegen staatliche Unterstützung. In der Umstellung auf Ransomware sehen die Forscher eine Weiterentwicklung der Taktiken von RedCurl.

Als Zielländer konzentriere sich die Gruppe auf die USA, Deutschland, Spanien, Mexiko und Russland. Ungewöhnlich ist, dass die Akteure bisher keine Daten verkauft hätten, was gegen eine finanzielle Motivation spreche. Die Motive der Hacker seien noch unklar.

Fokus auf Virtual Machines

Bitdefender zufolge würden die Kriminellen hauptsächlich auf legitime Tools für LOTL setzen und dabei gezielt Backups von Hypervisoren löschen und Endpunkt-Systeme meiden. Dadurch sei es für sie möglich, mit minimalem Aufwand maximalen Schaden zu verursachen. Sobald die Angreifer die virtuellen Maschinen (VMs) verschlüsselt hätten, würden die Hosts diese nicht mehr booten können. Mit diesem Ansatz würden die Angreifer verborgen bleiben und Zeit gewinnen wollen. Sie würden mit einem kleinen Teil der Betroffenen verhandeln, am liebsten mit dem IT-Team. Darum vermeiden sie Bitdefender zufolge auch die Veröffentlichung von gestohlenen Daten auf Leak-Seiten.

Arctic Wolf Threat Report 2025

Ransomware setzt auf Datenklau statt Lösegeld

Akteure tricksen Windows aus

Die Attacke würden mit einer klassischen Phishing-E-Mail beginnen, die als Lebenslaufdokumente getarnten IMG-Dateien enthalten. Eine solche Datei sei im Wesentlichen eine Teilkopie eines Speichermediums, vergleichbar mit einer virtuellen Festplatte. Klicke nun ein Opfer auf die an die Phishing-Mail angehängte IMG-Datei, würde diese unter Windows 10 und 11 automatisch als virtuelles Laufwerk eingebunden. Standardmäßig öffne Windows die eingebundene Festplatte automatisch und zeige ihren Inhalt im Datei-Explorer an. Dem Opfer würde dann die Datei „CV APPLICANT 7802-91542.SCR“ angezeigt.

Der Trick dabei sei, dass die SCR-Dateien Bildschirmschonerdateien seien, und tatsächlich nur umbenannte ausführbare Dateien. Klicke ein Nutzer auf eine SCR-Datei doppelt, würde Windows sie wie eine ausführbare Datei behandeln, jedoch mit dem zusätzlichen Parameter „/S“, der die Ausführung im Vollbildmodus anweist. Diese Methode funktioniere in beide Richtungen. Akteure könnten also eine EXE-Datei in eine SCR-Datei umbenennen, den Parameter „/S“ angeben und ausführen. Windows führe die Datei dann problemlos aus – dank des zusätzlichen Parameters im Vollbild. In den von Bitdefender beobachten Fällen hätten die Akteure schädliche DLL-Dateien (Dynamic Link Library) im selben Ordner wie die zu startende Anwendung platziert, um die Schaddateien beim Start stattdessen zu öffnen. Hier spricht man von DLL-Sideloading.

Hornetsecurity Cybersecurity Report 2025

Phishing bleibt Problem Nummer eins

Einsatz legitimer Tools

Der heruntergeladene Payload würden LOTL-Techniken verwenden, um die böswillige Aktionen zu verbergen, wie die Funktion „pcalua.exe-Utility“ für Programmkompatibilität. Sie führe binäre Dateien im Proxy aus. Außerdem würde RedCurl „Rundll32.exe“, ein Windows-Tool das für die Ausführung von DLLs zuständig ist, für ihre bösartigen DLLs zweckentfremden.

Einmal im System, hätten die Angreifer legitime remote Befehlszeilen-Tools wie „powershell.exe“, „wmic.exe“, „certutil.exe“ oder „tasklist.exe“ genutzt. Besonders fies sei, dass QWCrypt gezielt wichtige Backups und virtuelle Hard-Disk-Dateien lösche.

Malware und Phishing

Vertrauenswürdige Subdomains lassen Cyberangriffe seriös erscheinen

Schutz vor QWCrypt

Laut den Experten von Bitdefender, können Organisationen einige Maßnahmen ergreifen, um sich vor solchen und ähnlichen Ransomware-Angriffen zu schützen. Dazu gehört eine Vielzahl an Sicherheitskontrollen wie Netzwerksegmentierung und Endpunktschutz einzusetzen. Diese schaffen überlappende Verteidigungsebenen.

Eine weitere Empfehlung sind strikte Anwendungskontrollen, um die Ausführung nicht autorisierter Skripts und Binärdateien einzuschränken. PowerShell und andere Skriptumgebungen sollten abgesichert und ungewöhnliche Prozessausführungen sowie Befehlszeilenargumente überwacht werden. Zusätzlich rät das Bitdefender-Team dazu, unveränderbare Backups, die vom Produktionsnetzwerk isoliert sind, einzuführen. Außerdem sollten IT-Verantwortlichen die Wiederherstellungsverfahren regelmäßig testen.

Studie von Kaseya

Die wichtigsten Backup-und-Recovery-Trends 2025

(ID:50376381)