RedCurl ha empezado a hacer uso de un ransomware que ya está activo en España

La compañía de ciberseguridad Bitdefender ha dado a conocer recientemente una nueva investigación que documenta el primer uso conocido de ransomware por parte de RedCurl.

Este último es un actor de amenazas con una larga trayectoria y anteriormente catalogado por la industria de la ciberseguridad como un grupo de espionaje corporativo. Bitdefender ha bautizado la nueva cepa de ransomware como QWCrypt.

RedCurl ha ampliado su estrategia incluyendo ransomware con el objetivo de atacar hipervisores en lugar de endpoints. Mediante la implementación de QWCrypt se consigue paralizar la infraestructura manteniendo a los usuarios ajenos a todas las etapas del ataque, lo que permite centrar las negociaciones con un número limitado de personas en la organización atacada.

En este nuevo informe, Bitdefender cuestiona lo que se sabe hasta la fecha sobre RedCurl y sus verdaderas motivaciones, analizando tácticas y técnicas, como la carga lateral de DLL, el abuso de ataques LOTL y la implementación sigilosa de ransomware sin un sitio de filtración público.

Hasta el momento, Bitdefender ha detectado ataques del ransomware de RedCurl en EE. UU., España y Alemania. Bitdefender aconseja contar con una defensa de múltiples capas que priorice la prevención de ataques living-off-the-land (LOTL).