RedEnergy Stealer απεργίες σε βιομηχανικές οντότητες

Εντοπίστηκε ένα εξαιρετικά εξελιγμένο ransomware και απειλή κλοπής δεδομένων με το όνομα RedEnergy, που στοχεύει σε ενεργειακές επιχειρήσεις κοινής ωφελείας, πετρέλαιο, φυσικό αέριο, τηλεπικοινωνίες και μηχανήματα στη Βραζιλία και τις Φιλιππίνες μέσω των σελίδων τους στο LinkedIn.

Σύμφωνα με μια πρόσφατη ανάλυση από ερευνητές του Zscaler, αυτό το κακόβουλο λογισμικό .NET διαθέτει τη δυνατότητα εξαγωγής ευαίσθητων δεδομένων κλέβοντας πληροφορίες από διάφορα προγράμματα περιήγησης ιστού. Ενσωματώνει πολλαπλές ενότητες για την εκτέλεση τόσο κλοπής δεδομένων όσο και δραστηριοτήτων ransomware. Ο στόχος του RedEnergy είναι να συνδυάσει την κλοπή δεδομένων και την κρυπτογράφηση για να μεγιστοποιήσει τη ζημιά που προκαλείται στα θύματα.

Τρόπος Λειτουργίας RedEnergy

Η επίθεση ξεκινά με μια καμπάνια FakeUpdates (γνωστή και ως SocGholish), η οποία εξαπατά τους χρήστες να κατεβάσουν κακόβουλο λογισμικό που βασίζεται σε JavaScript, μεταμφιεσμένο ως ενημερώσεις προγράμματος περιήγησης ιστού.

Αυτό που ξεχωρίζει αυτή την επίθεση είναι η χρήση νόμιμων σελίδων LinkedIn για στόχευση θυμάτων. Όταν οι χρήστες κάνουν κλικ στις διευθύνσεις URL του ιστότοπου, ανακατευθύνονται σε μια ψεύτικη σελίδα προορισμού που τους προτρέπει να ενημερώσουν τα προγράμματα περιήγησης ιστού τους κάνοντας κλικ στα αντίστοιχα εικονίδια (Google Chrome, Microsoft Edge, Mozilla Firefox ή Opera). Αυτή η ενέργεια οδηγεί στη λήψη ενός κακόβουλου εκτελέσιμου αρχείου.

Μόλις επιτευχθεί μια επιτυχής παραβίαση, το κακόβουλο δυαδικό δημιουργεί την επιμονή, εκτελεί την πραγματική ενημέρωση του προγράμματος περιήγησης και αναπτύσσει ένα στοιχείο κλοπής δεδομένων ικανό να συλλέγει διακριτικά ευαίσθητες πληροφορίες. Κρυπτογραφεί επίσης τα κλεμμένα αρχεία, θέτοντας τα θύματα σε κίνδυνο απώλειας δεδομένων, έκθεσης ή πιθανής πώλησης των πολύτιμων δεδομένων τους.

Ο Zscaler έχει παρατηρήσει ύποπτες αλληλεπιδράσεις που λαμβάνουν χώρα μέσω μιας σύνδεσης Πρωτοκόλλου Μεταφοράς Αρχείων (FTP), γεγονός που υποδηλώνει ότι πολύτιμα δεδομένα ενδέχεται να διεξαχθούν σε υποδομές που ελέγχονται από τους παράγοντες απειλής.

Στο τελικό στάδιο, το στοιχείο ransomware του RedEnergy προχωρά στην κρυπτογράφηση των δεδομένων του χρήστη, προσθέτοντας το ".FACKOFF!" επέκταση σε κάθε κρυπτογραφημένο αρχείο, διαγράφοντας τα υπάρχοντα αντίγραφα ασφαλείας και αφήνοντας ένα σημείωμα λύτρων σε κάθε φάκελο.

Για να ανακτήσουν την πρόσβαση στα αρχεία τους, τα θύματα αναμένεται να καταβάλουν μια πληρωμή 0,005 BTC (περίπου 151 $) σε ένα πορτοφόλι κρυπτονομισμάτων που αναφέρεται στο σημείωμα λύτρων. Η ικανότητα του RedEnergy να λειτουργεί τόσο ως κλέφτης δεδομένων όσο και ως ransomware σηματοδοτεί μια εξέλιξη στο τοπίο του εγκλήματος στον κυβερνοχώρο.