A RedEnergy Stealer sztrájkol ipari vállalatoknál
A RedEnergy nevű, rendkívül kifinomult zsarolóvírus- és adatlopási fenyegetést azonosították, amely Brazília és a Fülöp-szigetek energiaszolgáltatóit, olaj-, gáz-, távközlési és gépipari ágazatait célozza meg LinkedIn-oldalaikon keresztül.
A Zscaler kutatóinak legutóbbi elemzése szerint ez a .NET-es kártevő képes érzékeny adatok kinyerésére úgy, hogy információkat lop különböző webböngészőkből. Több modult tartalmaz az adatlopás és a ransomware tevékenységek végrehajtásához. A RedEnergy célja az adatlopás és a titkosítás kombinálása, hogy maximalizálja az áldozatokon okozott kárt.
RedEnergy üzemmód
A támadás egy FakeUpdates (más néven SocGholish) kampánnyal kezdődik, amely ráveszi a felhasználókat, hogy letöltsenek JavaScript-alapú rosszindulatú programokat webböngésző-frissítéseknek álcázva.
Ami ezt a támadást megkülönbözteti, az az, hogy legitim LinkedIn-oldalakat használnak az áldozatok megcélzására. Amikor a felhasználók a webhely URL-jére kattintanak, átirányítják őket egy hamis nyitóoldalra, amely a megfelelő ikonokra (Google Chrome, Microsoft Edge, Mozilla Firefox vagy Opera) kattintva frissítse böngészőjét. Ez a művelet egy rosszindulatú végrehajtható fájl letöltéséhez vezet.
A sikeres incidens elérése után a rosszindulatú bináris állandóságot biztosít, végrehajtja a tényleges böngészőfrissítést, és egy adatlopó összetevőt telepít, amely képes diszkréten gyűjteni érzékeny információkat. Titkosítja az ellopott fájlokat is, így az áldozatokat az adatvesztés, a leleplezés vagy az értékes adataik esetleges eladása veszélye fenyegeti.
A Zscaler gyanús interakciókat figyelt meg a File Transfer Protocol (FTP) kapcsolaton keresztül, ami arra utal, hogy értékes adatok szivároghatnak ki a fenyegetés szereplői által irányított infrastruktúrába.
Az utolsó szakaszban a RedEnergy ransomware komponense titkosítja a felhasználó adatait, hozzáfűzve a ".FACKOFF!" kiterjesztése minden titkosított fájlra, törli a meglévő biztonsági másolatokat, és váltságdíj-jegyzetet hagy minden mappában.
Ahhoz, hogy visszaszerezzenek hozzáférést az irataikhoz, az áldozatoknak 0,005 BTC-t (körülbelül 151 dollárt) kell befizetniük a váltságdíjról szóló értesítésben említett kriptovaluta pénztárcába. A RedEnergy azon képessége, hogy adatlopóként és zsarolóprogramként is működjön, fejlődést jelez a kiberbűnözés területén.
