Los ciberespías de RedCurl desarrollan ransomware para atacar servidores Hyper-V mediante cifrado.
Publicado enNoticias

Los ciberespías de RedCurl desarrollan ransomware para atacar servidores Hyper-V mediante cifrado.

No hay comentarios

RedCurl: El grupo de espionaje corporativo que ahora ataca Hyper-V con ransomware

El grupo de amenazas conocido como RedCurl, activo desde 2018 y especializado en operaciones sigilosas de espionaje corporativo, ha evolucionado su estrategia para incluir ataques de ransomware. Según investigaciones recientes, ahora emplean un cifrador diseñado específicamente para comprometer máquinas virtuales basadas en Hyper-V, la plataforma de virtualización de Microsoft. Este cambio de táctica representa una escalada significativa en sus capacidades ofensivas.

Fuente original

Perfil técnico de RedCurl

RedCurl opera bajo un modelo de amenaza persistente avanzada (APT), enfocándose en el robo de información confidencial mediante técnicas de bajo perfil. Sus operaciones anteriores incluían:

  • Uso de documentos maliciosos con macros (Office).
  • Explotación de vulnerabilidades en software legado.
  • Técnicas de living-off-the-land (LotL) para evadir detección.

Su nuevo enfoque en ransomware contra Hyper-V sugiere una sofisticación técnica mayor, ya que atacar entornos virtualizados requiere conocimientos avanzados de APIs de administración y sistemas de almacenamiento en la nube.

Mecanismos del ransomware dirigido a Hyper-V

El malware utilizado por RedCurl está diseñado para:

  • Identificar y enumerar máquinas virtuales Hyper-V en la red.
  • Acceder a los archivos de configuración (.vmcx, .vhdx) mediante PowerShell o WMI.
  • Cifrar discos virtuales usando algoritmos como AES-256 o RSA-2048.
  • Deshabilitar mecanismos de snapshots para evitar recuperación.

Este enfoque es particularmente peligroso porque compromete no solo datos individuales, sino toda la infraestructura virtualizada, afectando múltiples servicios simultáneamente.

Implicaciones para la seguridad corporativa

El giro hacia el ransomware plantea riesgos críticos:

  • Impacto operacional: La caída de servidores Hyper-V puede paralizar centros de datos completos.
  • Doble extorsión: Combina el cifrado con la amenaza de filtrar datos robados previamente.
  • Resiliencia: Muchas organizaciones no tienen planes de recuperación específicos para entornos virtualizados.

Recomendaciones de mitigación

Para defenderse contra esta amenaza, se recomienda:

  • Segmentar redes que alojen infraestructura Hyper-V.
  • Implementar controles de acceso estrictos a herramientas de administración (SCVMM, PowerShell Remoting).
  • Monitorear actividades sospechosas relacionadas con procesos como vmms.exe o vmwp.exe.
  • Mantener copias de seguridad offline de configuraciones y discos virtuales.

La evolución de RedCurl subraya la necesidad de adoptar modelos de seguridad adaptativos, especialmente en entornos cloud y virtualizados donde los vectores de ataque son cada vez más especializados.

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta