qwcrypt-ransomware

# QWCrypt Ransomware > [!high] Ransomware inédito desenvolvido pelo grupo RedCurl (Earth Kapre) que marca a transição histórica do grupo de espionagem corporativa pura para operações de ransomware, com foco único na criptografia de hipervisores Hyper-V para maximizar o impacto em ambientes virtualizados. ## Descrição QWCrypt é uma cepa de ransomware previamente não documentada desenvolvida e implantada pelo grupo de ameaça avançada RedCurl, também rastreado como Earth Kapre e Red Wolf. Sua descoberta em 2025 pela Bitdefender marcou uma virada operacional significativa: o RedCurl, conhecido desde 2018 por operações de espionagem corporativa silenciosas focadas em exfiltração de dados, passou a incorporar ransomware em seu arsenal - uma evolução estratégica que combina capacidade de inteligência com monetização agressiva. O QWCrypt se distingue de ransomwares convencionais por seu alvo: em vez de criptografar endpoints individuais, o malware mira específicamente em **hipervisores Hyper-V**, criptografando as máquinas virtuais hospedadas e tornando toda a infraestrutura virtualizada da vítima inoperante em uma única operação. Scripts de implantação contêm nomes de máquinas hardcoded, evidênciando reconhecimento detalhado prévio do ambiente-alvo realizado durante a fase de espionagem do grupo. O ransomware exclui VMs críticas como gateways de rede - indicando preservação intencional de acesso para manter comunicação com a vítima durante as negociações. A cadeia de ataque começa com phishing usando arquivos IMG disfarçados de currículos (CVs), contendo um executável legítimo Adobe renomeado (SCR) vulnerável a DLL sideloading. A DLL maliciosa busca um payload de background e redireciona para uma página de login falsa, estabelecendo persistência via tarefa agendada. Toda a progressão de acesso inicial até a execução do ransomware utiliza exclusivamente ferramentas nativas do Windows (LOTL): WMI, powershell.exe, wmic.exe, certutil.exe e tasklist.exe - sem ferramentas externas que possam ser detectadas por hash. Não há evidências públicas de venda de dados exfiltrados para extorsão dupla, o que levou pesquisadores a especular sobre motivações mercenárias ou uso de ransomware como distração/destruição em missões de espionagem. O nome "qwc" aparece como string de auto-referência no executável, distinguindo-o de famílias conhecidas. ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - e-mails de phishing com arquivos IMG disfarçados de CVs - [[t1574-dll-hijacking|T1574 - DLL Hijacking]] - sideloading via executável Adobe legítimo para carregar DLL maliciosa - [[t1053-scheduled-task|T1053 - Scheduled Task/Job]] - persistência via tarefa agendada pós-infecção inicial - [[t1047-windows-management-instrumentation|T1047 - WMI]] - execução remota de comandos e movimento lateral via WMI - [[t1059-001-powershell|T1059.001 - PowerShell]] - execução de scripts para reconhecimento e implantação - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - uso de wmic.exe, certutil.exe e tasklist.exe para LOTL - [[t1046-network-service-scanning|T1046 - Network Service Scanning]] - descoberta de rede para identificar hipervisores Hyper-V alvo - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - criptografia de VMs hospedadas em hipervisores Hyper-V ## Grupos que Usam - [[redcurl-qwcrypt-campaign-2025|RedCurl]] (Earth Kapre / Red Wolf / G1039 MITRE) - grupo russo-falante que desenvolveu e usa exclusivamente o QWCrypt como extensão de suas operações de espionagem corporativa ## Detecção **Monitoramento de vetor inicial:** Alertar para abertura de arquivos IMG contendo executáveis SCR (especialmente renomeados como PDFs ou documentos) seguida de carregamento de DLL de diretório não padrão por processo Adobe. Regras Sysmon para `regsvr32.exe`, `rundll32.exe` ou processos Adobe carregando DLLs de caminhos temporários são indicativas do estágio inicial. **Detecção de LOTL e movimento lateral:** Monitorar uso anômalo de WMI para execução remota de processos em múltiplos hosts em sequência - padrão característico da progressão lateral do RedCurl. Alertas para `certutil.exe` baixando arquivos de URLs externas e `tasklist.exe` sendo executado repetidamente em diferentes hosts via WMI são altamente suspeitos. **Proteção de hipervisores:** Implementar monitoramento específico de Hyper-V: alertas para processos não autorizados tentando acessar VHD/VHDX em produção, especialmente fora de janelas de manutenção programadas. Ferramentas de detecção nativas do Hyper-V e backup imutável de VMs são controles críticos. Regras Sigma para ataques ao RedCurl/EarthKapre estão disponíveis no SOC Prime. **Indicadores comportamentais da persistência:** Tarefas agendadas criadas por processos relacionados a Adobe ou documentos de escritório devem ser tratadas como alto risco. Monitorar criação de tarefas com nomes genéricos ou IDs aleatórios por processos não administrativos. ## Relevância LATAM/Brasil O RedCurl opera globalmente com alvos documentados nos EUA, Canadá, Alemanha, Rússia, Ucrânia e outros países. Embora não existam ataques documentados específicamente no Brasil, o perfil de alvos do grupo - setores jurídico, [[financial|financeiro]], construção e varejo - tem correspondência direta com o mercado brasileiro. A técnica de phishing com CVs falsos é especialmente eficaz em contextos de alta rotatividade de pessoal, comum em empresas brasileiras de médio e grande porte. O ataque a hipervisores Hyper-V é devastador em ambientes de TI brasileiros que dependem fortemente de virtualização Microsoft - padrão comum em empresas que migraram de servidores físicos sem adotar práticas de segurança para ambientes virtualizados. ## Referências - [Bitdefender - RedCurl QWCrypt Ransomware Technical Deep Dive](https://www.bitdefender.com/en-us/blog/businessinsights/redcurl-qwcrypt-ransomware-technical-deep-dive) - [The Hacker News - RedCurl Shifts from Espionage to Ransomware](https://thehackernews.com/2025/03/redcurl-shifts-from-espionage-to.html) - [Halcyon - RedCurl Develops Ransomware to Encrypt Hyper-V Servers](https://www.halcyon.ai/blog/threat-actor-redcurl-develops-ransomware-to-encrypt-hyper-v-servers) - [MITRE ATT&CK - RedCurl Group G1039](https://attack.mitre.org/groups/G1039/) - [SOC Prime - RedCurl / EarthKapre Detection](https://socprime.com/blog/redcurl-aka-earthkapre-apt-attacks-detection/)