RedCurl : Le ransomware qui menace vos machines virtuelles Hyper-V
Hyper-V, la solution de virtualisation de Microsoft, est devenue une cible privilégiée pour certains groupes de cybercriminels. Parmi eux, RedCurl, un collectif russe initialement spécialisé dans le cyberespionnage, a développé un ransomware spécifique nommé QWCrypt pour chiffrer les machines virtuelles Hyper-V.
RedCurl : Du cyberespionnage au ransomware ciblé
Connu depuis 2019, RedCurl était à l’origine un groupe spécialisé dans l’espionnage industriel. Leur truc ? Les attaques de type phishing pour récupérer des identifiants et infiltrer les systèmes sans éveiller les soupçons. Mais depuis 2024, ils ont évolué et visent désormais à prendre en otage vos environnements virtualisés avec un ransomware redoutable.
Le ransomware Hyper-V de RedCurl : Comment ça marche ?
Le ransomware conçu par RedCurl cible spécifiquement les serveurs Hyper-V. Voici comment il procède :
- Infection initiale : Tout commence par un mail de phishing bien ficelé ou une pièce jointe piégée.
- Escalade de privilèges : Une fois dans le réseau, les attaquants cherchent à obtenir les droits d’administrateur Hyper-V.
- Chiffrement des VM : Ils déploient ensuite leur ransomware directement sur l’hôte Hyper-V, qui chiffre toutes les machines virtuelles en un clin d’œil.
- Demande de rançon : Un message vous indique que toutes vos VM sont chiffrées et qu’il va falloir sortir la carte bleue (en crypto, évidemment) pour récupérer vos données.
QWCrypt : Un ransomware conçu pour Hyper-V
QWCrypt est un ransomware doté de plusieurs paramètres en ligne de commande, démontrant son orientation spécifique vers les environnements Hyper-V. Parmi ces paramètres, on retrouve :
--key: Clé de chiffrement à utiliser.--full-enc-less: Taille maximale d’un fichier pour un chiffrement intégral.--excludeVM: Permet d’exclure certaines machines virtuelles du chiffrement, notamment celles servant de passerelles réseau.IT-Connect--hv: Cible spécifiquement les machines virtuelles Hyper-V.--kill: Interrompt les processus des machines virtuelles en cours d’exécution.--turnoff: Éteint les machines virtuelles Hyper-V avant le chiffrement, avec une valeur par défaut à « vrai », ce qui signifie que les VM sont arrêtées avant le début du processus de chiffrement, entraînant des perturbations potentielles des services en production.IT-Connect
Une fois le chiffrement effectué, les fichiers affectés portent les extensions .locked$ ou .randombits$. Le ransomware, identifié par le fichier rbcw.exe, utilise l’algorithme de chiffrement XChaCha20-Poly1305. Une note de rançon intitulée « !!!how_to_unlock_randombits_files.txt$ » est ensuite déposée sur la machine infectée.
xemple concret : Une attaque en plein cœur d’un datacenter
En janvier 2025, une entreprise de services financiers française a été la cible d’une attaque par le ransomware Hyper-V de RedCurl. Après un simple mail frauduleux envoyé au service comptable, les hackers ont réussi à obtenir les accès administratifs grâce à un mot de passe réutilisé sur plusieurs services.
Résultat ? Toutes les machines virtuelles, y compris les serveurs critiques, ont été chiffrées en moins d’une heure. La rançon demandée : 250 000 euros en Bitcoin. L’entreprise, faute de sauvegardes récentes, a dû payer pour récupérer ses données.
Comment vous protéger du ransomware Hyper-V de RedCurl
- Mises à jour régulières : Gardez Hyper-V et Windows Server à jour pour éviter les failles connues.
- Renforcement des accès : Mettez en place une authentification multifacteur (MFA) et des mots de passe complexes.
- Sauvegardes hors ligne : Ayez toujours des copies des VM stockées sur des supports déconnectés du réseau.
- Segmentation réseau : Isolez les environnements de production des réseaux bureautiques.
- Surveillance proactive : Utilisez des outils de détection d’intrusion (IDS) pour surveiller les comportements suspects.
En résumé
RedCurl a clairement franchi un cap en développant un ransomware spécialement conçu pour Hyper-V. Ce n’est plus seulement une affaire d’espionnage : désormais, c’est votre infrastructure virtuelle entière qui est en danger. Ne laissez pas vos VM devenir des otages : anticipez les attaques et appliquez les bonnes pratiques de sécurité.