Хакерская группа RedCurl, ранее известная по операциям корпоративного шпионажа, впервые замечена в связке с атакой, в ходе которой был применён вирус-вымогатель. Такой поворот в стратегии делает деятельность этой группировки ещё более опасной. Замеченное изменение наступило на фоне кампании, исследованной румынской Bitdefender, в ходе которой использовалась ранее неизвестная вредоносная программа QWCrypt, пишет Securitylab.
Особое внимание привлекла атака, в ходе которой RedCurl пошла дальше обычного сбора данных и впервые использовала программу-вымогатель. По данным Bitdefender, она была применена для шифрования виртуальных машин на хост-серверах, что привело к полной остановке всех размещённых на них сервисов. Такой подход позволил нанести максимальный урон при минимальных усилиях — инфраструктура компании оказалась парализована.
Перед началом шифрования вымогатель применял тактику BYOVD — подгрузку уязвимого драйвера — для отключения защитных решений на конечных устройствах. Также собиралась техническая информация о системе. Интересно, что текст выкупа содержал фразы, характерные для группировок LockBit, HardBit и Mimic. Однако у новой атаки отсутствует отдельный сайт с утечками данных, что ставит под сомнение её истинные цели — вымогательство или дезориентация.