RedEnergy Stealer frappe des entités industrielles

Un rançongiciel hautement sophistiqué et une menace de vol de données nommé RedEnergy a été identifié, ciblant les secteurs des services publics d'énergie, du pétrole, du gaz, des télécommunications et des machines au Brésil et aux Philippines via leurs pages LinkedIn.

Selon une analyse récente des chercheurs de Zscaler, ce logiciel malveillant .NET possède la capacité d'extraire des données sensibles en volant des informations à partir de divers navigateurs Web. Il intègre plusieurs modules pour effectuer à la fois des activités de vol de données et de ransomware. L'objectif de RedEnergy est de combiner le vol de données et le cryptage pour maximiser les dommages infligés aux victimes.

Mode de fonctionnement RedEnergy

L'attaque commence par une campagne FakeUpdates (également connue sous le nom de SocGholish), qui incite les utilisateurs à télécharger des logiciels malveillants basés sur JavaScript déguisés en mises à jour de navigateur Web.

Ce qui distingue cette attaque, c'est l'utilisation de pages LinkedIn légitimes pour cibler les victimes. Lorsque les utilisateurs cliquent sur les URL du site Web, ils sont redirigés vers une fausse page de destination qui les invite à mettre à jour leur navigateur Web en cliquant sur les icônes respectives (Google Chrome, Microsoft Edge, Mozilla Firefox ou Opera). Cette action entraîne le téléchargement d'un fichier exécutable malveillant.

Une fois qu'une violation est réussie, le binaire malveillant établit la persistance, effectue la mise à jour réelle du navigateur et déploie un composant de vol de données capable de récolter discrètement des informations sensibles. Il crypte également les fichiers volés, exposant les victimes à un risque de perte de données, d'exposition ou de vente potentielle de leurs précieuses données.

Zscaler a observé des interactions suspectes se produisant via une connexion FTP (File Transfer Protocol), suggérant que des données précieuses pourraient être exfiltrées vers une infrastructure contrôlée par les acteurs de la menace.

Dans la dernière étape, le composant ransomware de RedEnergy procède au cryptage des données de l'utilisateur, en ajoutant le ".FACKOFF!" extension à chaque fichier crypté, en supprimant les sauvegardes existantes et en laissant une note de rançon dans chaque dossier.

Pour retrouver l'accès à leurs fichiers, les victimes doivent effectuer un paiement de 0,005 BTC (environ 151 $) sur un portefeuille de crypto-monnaie mentionné dans la demande de rançon. La capacité de RedEnergy à fonctionner à la fois comme un voleur de données et un rançongiciel marque une évolution dans le paysage de la cybercriminalité.