RedEnergy Stealer slår til hos industrielle enheder
En meget sofistikeret ransomware og datatyveri trussel ved navn RedEnergy er blevet identificeret, rettet mod energiforsyninger, olie, gas, telekommunikation og maskinsektoren i Brasilien og Filippinerne gennem deres LinkedIn-sider.
Ifølge en nylig analyse foretaget af Zscaler-forskere besidder denne .NET malware evnen til at udtrække følsomme data ved at stjæle information fra forskellige webbrowsere. Det inkorporerer flere moduler til at udføre både datatyveri og ransomware-aktiviteter. Formålet med RedEnergy er at kombinere datatyveri og kryptering for at maksimere skaden påført ofre.
RedEnergy Driftstilstand
Angrebet begynder med en FakeUpdates (også kendt som SocGholish) kampagne, som narrer brugere til at downloade JavaScript-baseret malware forklædt som webbrowseropdateringer.
Det, der adskiller dette angreb, er brugen af legitime LinkedIn-sider til at målrette ofre. Når brugere klikker på webstedets webadresser, omdirigeres de til en falsk landingsside, der opfordrer dem til at opdatere deres webbrowsere ved at klikke på de respektive ikoner (Google Chrome, Microsoft Edge, Mozilla Firefox eller Opera). Denne handling fører til download af en ondsindet eksekverbar fil.
Når et vellykket brud er opnået, etablerer den ondsindede binære vedholdenhed, udfører den faktiske browseropdatering og implementerer en data-stjælende komponent, der er i stand til diskret at indsamle følsomme oplysninger. Det krypterer også de stjålne filer, hvilket sætter ofrene i fare for datatab, eksponering eller potentielt salg af deres værdifulde data.
Zscaler har observeret mistænkelige interaktioner, der forekommer gennem en FTP-forbindelse (File Transfer Protocol), hvilket tyder på, at værdifulde data kan blive eksfiltreret til infrastruktur kontrolleret af trusselsaktørerne.
I sidste fase fortsætter RedEnergys ransomware-komponent med at kryptere brugerens data og tilføjer ".FACKOFF!" udvidelse til hver krypteret fil, sletning af eksisterende sikkerhedskopier og efterlad en løsesumseddel i hver mappe.
For at få adgang til deres filer igen, forventes ofrene at foretage en betaling på 0,005 BTC (ca. $151) til en cryptocurrency-pung nævnt i løsesumsedlen. RedEnergys evne til at fungere som både datatyver og ransomware markerer en udvikling i cyberkriminalitetslandskabet.
