RedEnergy Stealer greift Industrieunternehmen an

Es wurde eine hochentwickelte Ransomware- und Datendiebstahl-Bedrohung namens RedEnergy identifiziert, die über ihre LinkedIn-Seiten auf Energieversorger, Öl-, Gas-, Telekommunikations- und Maschinensektoren in Brasilien und auf den Philippinen abzielt.

Laut einer aktuellen Analyse von Zscaler-Forschern verfügt diese .NET-Malware über die Fähigkeit, vertrauliche Daten zu extrahieren, indem sie Informationen aus verschiedenen Webbrowsern stiehlt. Es umfasst mehrere Module zur Durchführung von Datendiebstahl und Ransomware-Aktivitäten. Ziel von RedEnergy ist es, Datendiebstahl und Verschlüsselung zu kombinieren, um den Schaden für die Opfer zu maximieren.

RedEnergy-Betriebsart

Der Angriff beginnt mit einer FakeUpdates-Kampagne (auch bekannt als SocGholish), die Benutzer dazu verleitet, JavaScript-basierte Malware herunterzuladen, die als Webbrowser-Updates getarnt ist.

Das Besondere an diesem Angriff ist die Verwendung legitimer LinkedIn-Seiten, um Opfer anzugreifen. Wenn Benutzer auf die Website-URLs klicken, werden sie auf eine gefälschte Zielseite weitergeleitet, die sie dazu auffordert, ihre Webbrowser durch Klicken auf die entsprechenden Symbole (Google Chrome, Microsoft Edge, Mozilla Firefox oder Opera) zu aktualisieren. Diese Aktion führt zum Herunterladen einer schädlichen ausführbaren Datei.

Sobald ein erfolgreicher Verstoß erreicht wurde, stellt die bösartige Binärdatei eine Persistenz her, führt das eigentliche Browser-Update durch und setzt eine datenstehlende Komponente ein, die in der Lage ist, vertrauliche Informationen diskret zu sammeln. Außerdem werden die gestohlenen Dateien verschlüsselt, wodurch die Opfer dem Risiko eines Datenverlusts, einer Offenlegung oder eines möglichen Verkaufs ihrer wertvollen Daten ausgesetzt werden.

Zscaler hat verdächtige Interaktionen über eine File Transfer Protocol (FTP)-Verbindung beobachtet, was darauf hindeutet, dass wertvolle Daten möglicherweise in die von den Bedrohungsakteuren kontrollierte Infrastruktur exfiltriert werden.

In der letzten Phase verschlüsselt die Ransomware-Komponente von RedEnergy die Daten des Benutzers und hängt das „.FACKOFF!“ an. Erweiterung für jede verschlüsselte Datei, Löschen vorhandener Backups und Hinterlassen einer Lösegeldforderung in jedem Ordner.

Um wieder Zugriff auf ihre Dateien zu erhalten, wird von den Opfern erwartet, dass sie eine Zahlung von 0,005 BTC (ca. 151 US-Dollar) an eine im Lösegeldschein genannte Kryptowährungs-Wallet leisten. Die Fähigkeit von RedEnergy, sowohl als Datendiebstahler als auch als Ransomware zu fungieren, markiert eine Entwicklung in der Cyberkriminalitätslandschaft.