RedCurl cambia del espionaje al ransomware con el primer uso de QWCrypt
Publicado enAtaques

RedCurl cambia del espionaje al ransomware con el primer uso de QWCrypt

No hay comentarios

“`html

RedCurl: De la ciberespionaje al ransomware con QWCrypt

El grupo de hackers de habla rusa conocido como RedCurl, también identificado como Earth Kapre o Red Wolf, ha dado un giro significativo en su modus operandi al ser vinculado por primera vez a una campaña de ransomware. Según investigaciones de la empresa rumana de ciberseguridad Bitdefender, el grupo ha desplegado una nueva variante de ransomware denominada QWCrypt, lo que marca un cambio notable en sus tácticas tradicionales centradas en el espionaje corporativo.

Antecedentes y evolución de RedCurl

RedCurl ha sido históricamente asociado con operaciones de ciberespionaje dirigidas a empresas en sectores como finanzas, construcción y retail. Sus técnicas incluían:

  • Phishing dirigido con documentos maliciosos.
  • Uso de herramientas como PowerShell y scripts personalizados para movimiento lateral.
  • Robo de credenciales mediante keyloggers y dumpers de memoria.

Sin embargo, la aparición de QWCrypt sugiere una expansión hacia el modelo de ransomware-as-a-service (RaaS), buscando beneficios económicos inmediatos.

Análisis técnico de QWCrypt

QWCrypt representa una nueva familia de ransomware con características técnicas distintivas:

  • Cifrado basado en AES-256 para archivos críticos, con extensión modificada a “.qwcrypt”.
  • Eliminación de copias de sombra (Volume Shadow Copies) para dificultar la recuperación.
  • Uso de comunicación C2 (Command and Control) cifrada mediante TLS 1.2.
  • Integración de mecanismos anti-debugging para evadir análisis dinámico.

Implicaciones para la ciberseguridad

Este cambio estratégico plantea riesgos adicionales:

  • Mayor probabilidad de ataques doble extorsión (robo de datos + cifrado).
  • Posible colaboración con otros grupos criminales para distribuir QWCrypt.
  • Necesidad de actualizar controles de detección para nuevas firmas de comportamiento.

Se recomienda implementar medidas como:

  • Segmentación de red para limitar movimiento lateral.
  • Monitoreo continuo de procesos sospechosos (ej. uso de vssadmin.exe).
  • Backups offline con verificación periódica de integridad.

Para más detalles técnicos sobre la investigación, consulta el informe completo en: Fuente original.

“`

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta