Ladrón de RedEnergy ataca a entidades industriales

Se identificó una amenaza de robo de datos y ransomware altamente sofisticada llamada RedEnergy, dirigida a los sectores de servicios públicos de energía, petróleo, gas, telecomunicaciones y maquinaria en Brasil y Filipinas a través de sus páginas de LinkedIn.

Según un análisis reciente de los investigadores de Zscaler, este malware .NET posee la capacidad de extraer datos confidenciales mediante el robo de información de varios navegadores web. Incorpora múltiples módulos para llevar a cabo actividades tanto de robo de datos como de ransomware. El objetivo de RedEnergy es combinar el robo de datos y el cifrado para maximizar el daño infligido a las víctimas.

Modo de operación RedEnergy

El ataque comienza con una campaña FakeUpdates (también conocida como SocGholish), que engaña a los usuarios para que descarguen malware basado en JavaScript disfrazado de actualizaciones del navegador web.

Lo que distingue a este ataque es el uso de páginas legítimas de LinkedIn para atacar a las víctimas. Cuando los usuarios hacen clic en las URL del sitio web, son redirigidos a una página de destino falsa que los insta a actualizar sus navegadores web haciendo clic en los íconos respectivos (Google Chrome, Microsoft Edge, Mozilla Firefox u Opera). Esta acción conduce a la descarga de un archivo ejecutable malicioso.

Una vez que se logra una violación exitosa, el binario malicioso establece persistencia, realiza la actualización real del navegador e implementa un componente de robo de datos capaz de recopilar discretamente información confidencial. También encripta los archivos robados, poniendo a las víctimas en riesgo de pérdida de datos, exposición o posible venta de sus valiosos datos.

Zscaler ha observado interacciones sospechosas que ocurren a través de una conexión de Protocolo de transferencia de archivos (FTP), lo que sugiere que los datos valiosos pueden filtrarse a la infraestructura controlada por los actores de amenazas.

En la etapa final, el componente ransomware de RedEnergy procede a encriptar los datos del usuario, agregando el ".FACKOFF!" extensión a cada archivo cifrado, eliminando las copias de seguridad existentes y dejando una nota de rescate en cada carpeta.

Para recuperar el acceso a sus archivos, se espera que las víctimas realicen un pago de 0,005 BTC (aproximadamente $151) a una billetera de criptomonedas mencionada en la nota de rescate. La capacidad de RedEnergy para funcionar tanto como ladrón de datos como ransomware marca una evolución en el panorama del cibercrimen.