# RedCurl QWCrypt Campaign 2025 > [!high] Primeiro Ransomware do RedCurl - Hyper-V como Alvo Principal > Em marco de 2025, o **RedCurl** - grupo anteriormente conhecido exclusivamente por espionagem corporativa silenciosa - lançou seu primeiro ransomware: o **QWCrypt**. A campanha se distingue por seu alvo tecnico preciso: **maquinas virtuais Hyper-V**, cifrando VMs com XChaCha20-Poly1305 enquanto exclui gateways de rede para manter conectividade da vitima durante a extorsao. Representa uma mudança de paradigma operacional significativa para o grupo. ## Visão Geral O [[g1039-redcurl]] e um grupo de espionagem corporativa que opera desde pelo menos 2018, conhecido por campanhas de roubo de dados altamente furtivas contra organizacoes em múltiplos paises (Canada, Alemanha, Ucrania, Russia, Reino Unido). O grupo foi documentado pela Group-IB e posteriormente pela Bitdefender como especialista em espionagem de longo prazo sem implantar malware barulhento - historicamente sem uso de ransomware. A descoberta da campanha QWCrypt em marco de 2025 pela Bitdefender representou portanto uma mudança significativa no perfil operacional do grupo: o RedCurl adicionou ransomware ao seu arsenal, possívelmente motivado por pressao financeira ou expansao deliberada do modelo de negocios para monetização adicional alem da venda de dados roubados. O QWCrypt e técnicamente notavel por varios aspectos. Primeiro, o foco em **maquinas virtuais Hyper-V**: ao cifrar as VMs diretamente no host Hyper-V em vez dos sistemas convidados individuais, o ransomware maximiza o impacto com um único alvo de alto valor. Segundo, o algoritmo de cifragem **XChaCha20-Poly1305** - escolha moderna e eficiente que garante autenticação integrada dos dados cifrados. Terceiro, a exclusao deliberada de gateways de rede da cifragem: maquinas com strings como "gateway" ou "router" no nome sao explicitamente excluidas, garantindo que a vitima mantenha conectividade para negociar o resgate. O vetor de entrega inicial e phishing com arquivos IMG ou documentos com decoy de currículo/CV, seguido de DLL sideloading usando executaveis legitimos como `ADSelfService.exe` (Zoho ManageEngine). A abordagem LOTL (Living off the Land) e marcante - o grupo usa ferramentas legitimas do sistema onde possível para minimizar o footprint e dificultar detecção. Notavelmente, o RedCurl **nao possui site de vazamento de dados** - sem double extortion pública. Isso e incomum para ransomware moderno e pode indicar que o grupo ainda esta testando o modelo ou opera em modo de extorsao privada. ## Attack Flow ```mermaid graph TB A["📧 Phishing Inicial<br/>Arquivo IMG com decoy CV<br/>ou documento armado"] --> B["⚙️ Montagem IMG<br/>DLL maliciosa exposta<br/>para sideloading"] B --> C["🔄 DLL Sideloading<br/>ADSelfService.exe legítimo<br/>carrega DLL maliciosa T1574"] C --> D["🔍 Reconhecimento LOTL<br/>PowerShell, WMI<br/>Identifica hosts Hyper-V"] D --> E["🚀 Movimento Lateral<br/>Credenciais e confianca<br/>de domínio aproveitadas"] E --> F["🔐 Cifragem QWCrypt<br/>XChaCha20-Poly1305<br/>VMs Hyper-V cifradas"] F --> G["⚠️ Exclusao Seletiva<br/>Gateways e routers<br/>excluidos da cifragem"] G --> H["💰 Extorsao Privada<br/>Sem site de vazamento<br/>Negociacao direta"] ``` ### Técnica de Cifragem Hyper-V ```mermaid graph TB A["Host Hyper-V Comprometido"] --> B["Identificar VMs Ativas<br/>via WMI ou Get-VM<br/>PowerShell cmdlets"] B --> C{"Nome contem<br/>gateway/router?"} C -- "Sim" --> D["Excluir da Cifragem<br/>Manter conectividade<br/>para negociacao"] C -- "Nao" --> E["Cifrar com XChaCha20<br/>Arquivos VHDX/VMDK<br/>VMs completas cifradas"] E --> F["Nota de Resgate<br/>ReadMe.txt em cada<br/>diretorio de VM"] D --> G["Conectividade Mantida<br/>Vitima pode contatar<br/>atacantes para pagar"] ``` ## Cronologia | Data | Evento | |------|--------| | 2018-01 | RedCurl identificado pela primeira vez pela Group-IB como grupo de espionagem corporativa | | 2020-08 | Group-IB pública relatorio inicial documentando 8 campanhas de espionagem do RedCurl | | 2023-Q2 | Bitdefender detecta novas campanhas RedCurl com TTPs evoluidas | | 2025-03 | Bitdefender identifica QWCrypt - primeiro ransomware documentado do RedCurl | | 2025-04 | Análise detalhada do QWCrypt públicada com confirmacao de foco em Hyper-V | | 2025-Q2 | Confirmacao de múltiplas vitimas em EUA, Canada e Europa | ## TTPs (MITRE ATT&CK) | ID | Técnica | Uso na Campanha | |----|---------|-----------------| | [[t1566-phishing\|T1566]] | Phishing | Arquivo IMG com decoy de curriculo/CV para entrega inicial | | [[t1574-dll-sideloading\|T1574]] | DLL Sideloading | ADSelfService.exe (Zoho) carregando DLL maliciosa | | [[t1218-signed-binary-proxy\|T1218]] | Signed Binary Proxy | Uso de executavel legítimo assinado para execução de payload | | [[t1486-data-encrypted-for-impact\|T1486]] | Data Encrypted | XChaCha20-Poly1305 cifrando VMs Hyper-V | | [[t1562-impair-defenses\|T1562]] | Impair Defenses | Desativacao de EDR antes da fase de cifragem | | [[t1490-inhibit-system-recovery\|T1490]] | Inhibit System Recovery | Exclusao de backups e shadow copies de VMs | | [[t1069-permission-groups-discovery\|T1069]] | Permission Groups | Identificação de estrutura AD para movimento lateral | ## Vitimas e Alvos O RedCurl historicamente compromete organizacoes de múltiplos setores em paises anglofones e europeus: - **Empresas de tecnologia**: Organizacoes com infraestrutura virtualizada em Hyper-V - **Setor financeiro**: Bancos e gestoras com ambientes virtualizados criticos - **Manufatura**: Empresas com servidores de producao em Hyper-V - Vitimas confirmadas documentadas pela Bitdefender em EUA, Canada e Europa ## Relevância LATAM O impacto atual para o Brasil e LATAM e limitado, pois o RedCurl historicamente focou em alvos anglofones e europeus. No entanto: > [!latam] Contexto Brasil e LATAM > O modelo tecnico do **QWCrypt** - focar em **Hyper-V** para maximizar impacto com um único alvo - e altamente relevante para o Brasil. Grandes empresas brasileiras e orgaos governamentais frequentemente operam infraestruturas Hyper-V extensas como plataforma de virtualizacao primaria. Um ataque bem-sucedido ao host Hyper-V pode paralisar dezenas ou centenas de servidores virtuais simultaneamente. A técnica de DLL sideloading via ferramentas legitimas (ManageEngine, Zoho) também e comum em ambientes corporativos brasileiros. ## Mitigação e Detecção - **Monitoramento de DLL sideloading**: Alerta para carregamento de DLLs nao-assinadas por aplicativos legitimos - **Auditoria de hosts Hyper-V**: Acesso nao-autorizado a hosts de virtualizacao deve gerar alertas imediatos - **Backup offsite e imutavel de VHDX**: Backups offline de VMs sao essenciais para recuperacao sem pagamento - **Restricao de montagem automatica de arquivos IMG** em endpoints corporativos - **Network segmentation**: Isolar hosts Hyper-V em VLAN dedicada com acesso restrito - **EDR em hosts Hyper-V**: Proteção dedicada nos hypervisors, nao apenas nas VMs convidadas - Aplicar [[m1030-network-segmentation]], [[m1049-antivirus-endpoint-protection]] e [[m1028-operating-system-configuration]] ## Referências - [Bitdefender - RedCurl QWCrypt Analysis (Mar 2025)](https://www.bitdefender.com/blog/labs/redcurl-the-pentest-you-didnt-order/) - [Group-IB - RedCurl Initial Report (Ago 2020)](https://www.group-ib.com/resources/threat-research/red-curl.html) - [MITRE ATT&CK - RedCurl (G0131)](https://attack.mitre.org/groups/G0131/)