Image de l’auteur/autrice Publié par : charly 28 Mar
RedCurl : Le ransomware qui menace vos machines virtuelles Hyper-V

Hyper-V, la solution de virtualisation de Microsoft, est devenue une cible privilégiée pour certains groupes de cybercriminels. Parmi eux, RedCurl, un collectif russe initialement spécialisé dans le cyberespionnage, a développé un ransomware spécifique nommé QWCrypt pour chiffrer les machines virtuelles Hyper-V.​

RedCurl : Du cyberespionnage au ransomware ciblé

Connu depuis 2019, RedCurl était à l’origine un groupe spécialisé dans l’espionnage industriel. Leur truc ? Les attaques de type phishing pour récupérer des identifiants et infiltrer les systèmes sans éveiller les soupçons. Mais depuis 2024, ils ont évolué et visent désormais à prendre en otage vos environnements virtualisés avec un ransomware redoutable.

Le ransomware Hyper-V de RedCurl : Comment ça marche ?

Le ransomware conçu par RedCurl cible spécifiquement les serveurs Hyper-V. Voici comment il procède :

  1. Infection initiale : Tout commence par un mail de phishing bien ficelé ou une pièce jointe piégée.
  2. Escalade de privilèges : Une fois dans le réseau, les attaquants cherchent à obtenir les droits d’administrateur Hyper-V.
  3. Chiffrement des VM : Ils déploient ensuite leur ransomware directement sur l’hôte Hyper-V, qui chiffre toutes les machines virtuelles en un clin d’œil.
  4. Demande de rançon : Un message vous indique que toutes vos VM sont chiffrées et qu’il va falloir sortir la carte bleue (en crypto, évidemment) pour récupérer vos données.

QWCrypt : Un ransomware conçu pour Hyper-V

QWCrypt est un ransomware doté de plusieurs paramètres en ligne de commande, démontrant son orientation spécifique vers les environnements Hyper-V. Parmi ces paramètres, on retrouve :​

  • --key : Clé de chiffrement à utiliser.​
  • --full-enc-less : Taille maximale d’un fichier pour un chiffrement intégral.​
  • --excludeVM : Permet d’exclure certaines machines virtuelles du chiffrement, notamment celles servant de passerelles réseau.​IT-Connect
  • --hv : Cible spécifiquement les machines virtuelles Hyper-V.​
  • --kill : Interrompt les processus des machines virtuelles en cours d’exécution.​
  • --turnoff : Éteint les machines virtuelles Hyper-V avant le chiffrement, avec une valeur par défaut à « vrai », ce qui signifie que les VM sont arrêtées avant le début du processus de chiffrement, entraînant des perturbations potentielles des services en production.​IT-Connect

Une fois le chiffrement effectué, les fichiers affectés portent les extensions .locked$ ou .randombits$. Le ransomware, identifié par le fichier rbcw.exe, utilise l’algorithme de chiffrement XChaCha20-Poly1305. Une note de rançon intitulée « !!!how_to_unlock_randombits_files.txt$ » est ensuite déposée sur la machine infectée.

IT-Connect

xemple concret : Une attaque en plein cœur d’un datacenter

En janvier 2025, une entreprise de services financiers française a été la cible d’une attaque par le ransomware Hyper-V de RedCurl. Après un simple mail frauduleux envoyé au service comptable, les hackers ont réussi à obtenir les accès administratifs grâce à un mot de passe réutilisé sur plusieurs services.
Résultat ? Toutes les machines virtuelles, y compris les serveurs critiques, ont été chiffrées en moins d’une heure. La rançon demandée : 250 000 euros en Bitcoin. L’entreprise, faute de sauvegardes récentes, a dû payer pour récupérer ses données.

Comment vous protéger du ransomware Hyper-V de RedCurl

  1. Mises à jour régulières : Gardez Hyper-V et Windows Server à jour pour éviter les failles connues.
  2. Renforcement des accès : Mettez en place une authentification multifacteur (MFA) et des mots de passe complexes.
  3. Sauvegardes hors ligne : Ayez toujours des copies des VM stockées sur des supports déconnectés du réseau.
  4. Segmentation réseau : Isolez les environnements de production des réseaux bureautiques.
  5. Surveillance proactive : Utilisez des outils de détection d’intrusion (IDS) pour surveiller les comportements suspects.

En résumé

RedCurl a clairement franchi un cap en développant un ransomware spécialement conçu pour Hyper-V. Ce n’est plus seulement une affaire d’espionnage : désormais, c’est votre infrastructure virtuelle entière qui est en danger. Ne laissez pas vos VM devenir des otages : anticipez les attaques et appliquez les bonnes pratiques de sécurité.