# RedCurl Ransomware > [!high] Ransomware Furtivo Exclusivo para Hipervisores VMware ESXi > RedCurl Ransomware (também chamado QWCrypt) é uma família descoberta pela Bitdefender em 2025 como primeira incursão do grupo de espionagem RedCurl no ransomware. Diferente de outros ransomwares, cifra apenas VMs em hipervisores VMware ESXi, evitando arquivos do host para máxima furtividade. ## Visão Geral RedCurl Ransomware - ou QWCrypt - representa uma mudança de paradigma para o grupo [[g1039-redcurl]], anteriormente conhecido exclusivamente por espionagem corporativa silenciosa. A Bitdefender reportou em 2025 a descoberta desta nova família, que se distingue de outros ransomwares por uma característica única: criptografa apenas máquinas virtuais em hipervisores VMware ESXi, mantendo o próprio host intacto. Esta abordagem cirúrgica é deliberada - ao não criptografar o host ESXi, o ransomware evita que a presença seja detectada por soluções de segurança do host. A criptografia das VMs impede a operação do negócio sem deixar rastros óbvios no servidor físico. A técnica alinha-se ao histórico do RedCurl de operar de forma extremamente discreta. O RedCurl é notável por seu uso intensivo de técnicas LOTL (Living Off The Land), empregando ferramentas nativas do Windows e ferramentas legítimas de administração para conduzir operações. Inicialmente classificado como grupo de espionagem por Kaspersky e Group-IB, o desenvolvimento de um ransomware sugere possível evolução para modelo mercenário ou expansão para cybercrime financeiro. A origem do grupo ainda é debatida - Group-IB sugere origem russa com base em evidências linguísticas e horários de operação, porém sem confirmação definitiva. Os alvos históricos incluem organizações no Canadá, Alemanha, Noruega, Rússia, Reino Unido e outros países. ## Attack Flow ```mermaid graph TB A["📧 Phishing com IMG/ISO<br/>Arquivos de instaladores falsos"] --> B["📂 Abertura do Container<br/>Auto-mount do ISO/IMG"] B --> C["🛠️ Execução LOTL<br/>WMI, scripts nativos Windows"] C --> D["🔍 Reconhecimento Interno<br/>Mapeamento da rede"] D --> E["🎯 Identificação ESXi<br/>Localização dos hipervisores"] E --> F["💀 Deploy do Ransomware<br/>QWCrypt transferido para ESXi"] F --> G["🔒 Criptografia Seletiva<br/>Apenas VMs - host ESXi intacto"] G --> H["💰 Nota de Resgate<br/>Sem publicacao de dados"] ``` *Atores relacionados: [[g1039-redcurl]]* ## Técnicas MITRE ATT&CK | ID | Técnica | Fase | Descrição | |----|---------|------|-----------| | T1566 | Phishing | Acesso Inicial | Phishing com arquivos ISO/IMG contendo instaladores | | T1047 | WMI | Execução | Uso de WMI para execução remota LOTL | | T1027 | Obfuscated Files | Evasão | Ofuscação de scripts para evasão de AV | | T1562 | Impair Defenses | Evasão | Desativação de proteções antes da criptografia | | T1486 | Data Encrypted | Impacto | Criptografia de VMs em hipervisores ESXi | | T1490 | Inhibit Recovery | Impacto | Impedir recuperação apagando snapshots VMware | | T1537 | Data to Cloud | Exfiltração | Possível exfiltração antes da criptografia | | T1570 | Lateral Tool Transfer | Movimento | Transferência do ransomware para hosts ESXi | ## Comparativo com Outros Ransomwares ESXi ```mermaid graph TB subgraph Caracteristica Unica QWC["RedCurl Ransomware QWCrypt<br/>Cifra SOMENTE VMs<br/>Host ESXi permanece intacto"] end subgraph Ransomwares ESXi Comuns AKI["Akira Ransomware<br/>Cifra VMs e host"] BLS["BlackSuit<br/>Cifra VMs e host"] QL["Qilin Ransomware<br/>Variante Linux ESXi"] end subgraph Vantagem Tática FUR["Furtividade maxima<br/>AV do host nao detecta"] OPS["Operacoes continuam<br/>Host parece normal"] PAR["Dano cirurgico<br/>Apenas VMs afetadas"] end QWC --> FUR QWC --> OPS QWC --> PAR AKI --> OPS BLS --> OPS QL --> OPS ``` *Técnicas: [[t1486-data-encrypted-for-impact|T1486]] · [[t1047-windows-management-instrumentation|T1047]] · [[t1562-impair-defenses|T1562]]* ## Detecção e Defesa **Indicadores comportamentais:** - Arquivo ISO/IMG recebido por email de fontes desconhecidas - Uso intensivo de WMI para execução remota por usuário não administrativo - Ferramentas de administração legítimas executadas em horários atípicos - Conexões SSH/ESXi CLI incomuns a hipervisores - VMs parando de responder sem mudança no host ESXi **Mitigações recomendadas:** - Proteger acesso SSH a hipervisores ESXi com MFA e JIT access - Monitorar toda atividade de gerenciamento ESXi (APIs vCenter e CLI) - Backups de VMs fora do hipervisor (tape, cloud isolada) - Implementar [[m1022-restrict-file-and-directory-permissions|controle de acesso]] restritivo em ambientes de virtualização - Desabilitar auto-mount de arquivos ISO/IMG via GPO ## Referências - [1](https://www.bitdefender.com/en-us/blog/labs/redcurl-apt-group-deploys-first-ransomware-qwcrypt/) Bitdefender Labs - RedCurl APT Deploys First Ransomware QWCrypt (2025) - [2](https://www.group-ib.com/blog/redcurl/) Group-IB - RedCurl: The Pentest You Didn't Know About (2020) - [3](https://securelist.com/redcurl/103708/) Kaspersky Securelist - RedCurl Corporate Espionage (2021) - [4](https://attack.mitre.org/groups/G1039/) MITRE ATT&CK - RedCurl Group (2024) - [5](https://www.bleepingcomputer.com/news/security/redcurl-cyberspies-deploy-first-ransomware-qwcrypt/) BleepingComputer - RedCurl Cyberspies Deploy First Ransomware QWCrypt (2025)