El ransomware ataca a los hipervisores

22 Abril 2025
| No hay comentarios
Bitdefender_Noticias
Anzeige

Compartir publicación

Un nuevo ataque de ransomware del conocido grupo cibercriminal RedCurl se dirige específicamente a los hipervisores en lugar de a los puntos finales. Los atacantes quieren pasar desapercibidos durante mucho tiempo y, al mismo tiempo, causar el máximo daño.

El ataque está documentado por un análisis de Bitdefender Labs del primer intento de extorsión digital de RedCurl. Además de la instalación de DLL y de códigos de malware maliciosos, se utilizan principalmente herramientas legítimas para realizar ataques de tipo "living-of-the-land" (LOTL). Las copias de seguridad del hipervisor se eliminan deliberadamente. También se han documentado ataques en Alemania.

Anzeige
Ciberseguridad perfecta para las PYMES
Cómo las pequeñas y medianas empresas se defienden de los ataques dirigidos por IA con seguridad personalizada

RedCurl mantiene la distancia de los puntos finales

Según el análisis, los atacantes se mantienen alejados de los sistemas terminales de los usuarios durante todo el ataque. Por un lado, el ataque exclusivo a los hipervisores tiene como objetivo causar el máximo daño con el mínimo esfuerzo. El cifrado de máquinas virtuales alojadas en hipervisores hace que sea imposible arrancarlas. En segundo lugar, los atacantes aparentemente quieren permanecer ocultos durante el mayor tiempo posible, creando así tiempo para negociar con una pequeña parte de los afectados en la empresa, especialmente solo con el equipo de TI. Por lo tanto, los autores también evitan el trabajo de publicidad de ransomware, que normalmente es habitual, en sitios dedicados a filtraciones (DLS: Dedicated Leak Sites).

Herramienta de tendencias de phishing

Como suele ocurrir, el ataque comienza con un correo electrónico de phishing clásico que disfraza un archivo IMG como un CV con la extensión de archivo para protectores de pantalla (CV APPLICANT 7802-91542.SCR). Un archivo .SCR se puede ocultar fácilmente de la vista. El archivo IMG, una copia sector por sector de un hardware de almacenamiento, se monta automáticamente como un disco después de hacer clic en el supuesto currículum y se ejecuta el .exe disfrazado de archivo .SCR: La aplicación de Adobe ofrece una vulnerabilidad para la carga lateral de DLL.

Anzeige

Suscríbete al boletín ahora

Lea las mejores noticias de SEGURIDAD CIBERNÉTICA B2B una vez al mes



Al hacer clic en "Registrarse", acepto el procesamiento y uso de mis datos de acuerdo con la declaración de consentimiento (abra para más detalles). Puedo encontrar más información en nuestro Política de privacidad . Después de registrarse, primero recibirá un correo electrónico de confirmación para que ninguna otra persona pueda pedir algo que no desea.
Ampliar para obtener detalles sobre su consentimiento
No hace falta decir que tratamos sus datos personales de forma responsable. Si recopilamos datos personales suyos, los procesamos de conformidad con las normas de protección de datos aplicables. Puede encontrar información detallada en nuestro Política de privacidad . Puedes darte de baja del newsletter en cualquier momento. Puede encontrar el enlace correspondiente en el boletín. Después de darse de baja, sus datos se eliminarán lo más rápido posible. La restauración no es posible. Si desea volver a recibir el boletín, simplemente vuelva a solicitarlo. Haga lo mismo si desea utilizar una dirección de correo electrónico diferente para su boletín. Si desea recibir el boletín informativo que se ofrece en el sitio web, necesitamos su dirección de correo electrónico, así como información que nos permita verificar que usted es el propietario de la dirección de correo electrónico proporcionada y que acepta recibir el boletín. No se recopilan más datos o solo se recopilan de forma voluntaria. Para procesar el boletín utilizamos proveedores de servicios de boletín, que se describen a continuación.

CleverReach

Este sitio web utiliza CleverReach para enviar boletines. El proveedor es CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Alemania (en adelante, "CleverReach"). CleverReach es un servicio que se puede utilizar para organizar y analizar la distribución de boletines. Los datos que introduce para recibir el boletín (por ejemplo, dirección de correo electrónico) se almacenan en los servidores de CleverReach en Alemania e Irlanda. Nuestros boletines enviados con CleverReach nos permiten analizar el comportamiento de los destinatarios del boletín. Esto puede incluir, entre otras cosas: Analiza cuántos destinatarios abrieron el mensaje del boletín y con qué frecuencia se hizo clic en qué enlace del boletín. Con la ayuda del llamado seguimiento de conversiones también se puede analizar si se ha realizado una acción predefinida (por ejemplo, comprar un producto en este sitio web) después de hacer clic en el enlace del boletín. Puede encontrar más información sobre el análisis de datos a través del boletín CleverReach en: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. El procesamiento de datos se basa en su consentimiento (Art. 6 Párr. 1 lit. a GDPR). Puede revocar este consentimiento en cualquier momento dándose de baja de la newsletter. La revocación no afectará a la legalidad de los tratamientos de datos ya realizados. Si no desea que CleverReach realice análisis, deberá darse de baja del boletín. Para ello, en cada mensaje del boletín ponemos a su disposición el enlace correspondiente. Los datos que nos proporcione con el fin de suscribirse al boletín serán almacenados por nosotros o por el proveedor del servicio del boletín hasta que se dé de baja del boletín y se eliminarán de la lista de distribución del boletín después de que se dé de baja del boletín. Los datos almacenados por nosotros para otros fines no se verán afectados. Una vez que se haya dado de baja de la lista de distribución del boletín, nosotros o el proveedor del servicio del boletín podemos almacenar su dirección de correo electrónico en una lista negra si esto es necesario para evitar futuros envíos. Los datos de la lista negra sólo se utilizarán para este fin y no se combinarán con otros datos. Esto sirve tanto para su interés como para el nuestro en el cumplimiento de los requisitos legales al enviar boletines informativos (interés legítimo en el sentido del art. 6, apartado 1, letra f del RGPD). El almacenamiento en la lista negra no está limitado en el tiempo. Puede oponerse al almacenamiento si sus intereses superan a nuestros intereses legítimos. Para obtener más información, consulte la política de privacidad de CleverReach en: https://www.cleverreach.com/de/datenschutz/.

Procesamiento de pedidos

Hemos concluido un contrato de procesamiento de pedidos (AVV) para el uso del servicio mencionado anteriormente. Este es un contrato requerido por la ley de protección de datos, que garantiza que los datos personales de los visitantes de nuestro sitio web solo se procesen de acuerdo con nuestras instrucciones y de conformidad con el RGPD.

Herramientas legítimas para el mimetismo de tendencias

La carga útil descargada utiliza técnicas LOTL para ocultar acciones maliciosas detrás de acciones realizadas por herramientas legítimas. Entre estas herramientas se encuentra la utilidad pcalua.exe para el acceso inicial como herramienta asistente para la compatibilidad de programas (Program Compatibility Assistant – PCA). Esta herramienta generalmente se utiliza para hacer que versiones de software más antiguas se ejecuten en versiones más nuevas de Windows y ejecuta archivos binarios en el proxy. Rundll32.exe, una herramienta de Windows para operar bibliotecas de vínculos dinámicos (DLL), está siendo reutilizada para DLL maliciosas. Una vez en el sistema, los atacantes de RedCurl utilizan herramientas remotas de Windows para administradores, como powerehell.exe, wmic.exe, certutil.exe o tasklist.exe. El ataque de ransomware también intenta eludir el software de seguridad informática.

El script principal del ransomware se caracteriza por varios parámetros y permite eliminar copias de seguridad específicamente por nombre de host. Para ello, el script elimina directorios de respaldo específicos y archivos del disco duro virtual.

Nueva cartera criminal con motivación poco clara

Bitdefender Labs llama al nuevo ransomware QWCrypt. El grupo RedCurl, también conocido como Earth Kapre o Red Wolf, ha estado activo desde 2018 y anteriormente era conocido principalmente por sus técnicas de vida fuera de la tierra destinadas al espionaje cibernético y la exfiltración de datos. La amplia distribución geográfica, sobre todo en EE.UU., pero también en Alemania, España, México y, según otros expertos, incluso en Rusia, habla de un contexto estatal, por ejemplo en materia de ciberespionaje. El hecho de que RedCurl no haya vendido ningún dato hasta ahora habla en contra de una motivación financiera. La incorporación de ransomware a una cartera delictiva es una expansión notable de sus tácticas. Los motivos de los piratas informáticos, aparte de obtener un rescate, siguen sin estar claros.

Más en Bitdefender.com

 

Acerca de Bitdefender

Bitdefender es líder mundial en soluciones de ciberseguridad y software antivirus, y protege más de 500 millones de sistemas en más de 150 países. Desde su fundación en 2001, las innovaciones de la compañía han brindado regularmente excelentes productos de seguridad y protección inteligente para dispositivos, redes y servicios en la nube para clientes privados y empresas. Como proveedor elegido, la tecnología de Bitdefender se encuentra en el 38 por ciento de las soluciones de seguridad implementadas en el mundo y cuenta con la confianza y el reconocimiento de profesionales de la industria, fabricantes y consumidores por igual. www.bitdefender.de

 

Artículos relacionados con el tema

El programa MITRE CVE sigue vigente por el momento

El programa CVE, financiado por el gobierno de Estados Unidos, se considera un elemento crucial para la detección global de defectos de software. Ahora la financiación se realizará de forma temporal. ➡ Leer más

El sitio de fugas de LockBit fue hackeado y sus datos fueron robados

Ahora LockBit también se ha convertido en víctima de otro hacker: Parece que no solo fue hackeada la página de filtración del grupo, sino ➡ Leer más

F5 BIG-IP: BSI advierte sobre vulnerabilidades altamente peligrosas

La BSI ha emitido una advertencia sobre los productos F5 porque contienen varias vulnerabilidades de seguridad altamente peligrosas que deberían cerrarse. La GRAN IP ➡ Leer más

Ciberdelincuencia: el movimiento clandestino rusoparlante lidera

Un nuevo informe de investigación ofrece una visión exhaustiva del mundo cibernético clandestino de habla rusa. Este ecosistema ha tenido un impacto significativo en el cibercrimen global en los últimos tiempos. ➡ Leer más

Irán, Corea del Norte y Rusia: los hackers estatales confían en ClickFix 

Los grupos de piratas informáticos patrocinados por Estados están adoptando cada vez más nuevas técnicas de ingeniería social desarrolladas originalmente por ciberdelincuentes con motivaciones comerciales. ClickFix ahora se está reforzando ➡ Leer más

TA4557: Venom Spider ataca a los departamentos de RR.HH.

TA4557, más conocido como Venom Spider, explota cada vez más el phishing e intenta implementar su malware de puerta trasera. Particularmente en el foco de la ➡ Leer más

Resiliencia TI: ciberseguridad a nivel de almacenamiento

Más funciones de seguridad de datos para una mayor resiliencia de TI a nivel de almacenamiento: los administradores de seguridad cibernética pueden adoptar un enfoque de seguridad de datos proactivo a nivel de almacenamiento con almacenamiento NetApp altamente seguro y, por lo tanto, ➡ Leer más

Cervecería Oettinger atacada por ransomware

El grupo APT Ransomhouse afirma haber atacado con éxito la cervecería alemana Oettinger con ransomware. En la página de filtraciones del grupo APT ➡ Leer más

Bitdefender, Noticias cortas
, , , ,