RedEnergy Stealer colpisce le entità industriali

È stata identificata una minaccia altamente sofisticata di ransomware e furto di dati denominata RedEnergy, che prende di mira i settori dei servizi energetici, del petrolio, del gas, delle telecomunicazioni e dei macchinari in Brasile e nelle Filippine attraverso le loro pagine LinkedIn.

Secondo una recente analisi dei ricercatori di Zscaler, questo malware .NET possiede la capacità di estrarre dati sensibili rubando informazioni da vari browser web. Incorpora più moduli per eseguire sia il furto di dati che le attività di ransomware. L'obiettivo di RedEnergy è combinare il furto di dati e la crittografia per massimizzare il danno inflitto alle vittime.

Modalità di funzionamento RedEnergy

L'attacco inizia con una campagna FakeUpdates (nota anche come SocGholish), che induce gli utenti a scaricare malware basato su JavaScript camuffato da aggiornamenti del browser web.

Ciò che distingue questo attacco è l'uso di pagine LinkedIn legittime per prendere di mira le vittime. Quando gli utenti fanno clic sugli URL del sito Web, vengono reindirizzati a una falsa pagina di destinazione che li invita ad aggiornare i propri browser Web facendo clic sulle rispettive icone (Google Chrome, Microsoft Edge, Mozilla Firefox o Opera). Questa azione porta al download di un file eseguibile dannoso.

Una volta raggiunta una violazione riuscita, il file binario dannoso stabilisce la persistenza, esegue l'effettivo aggiornamento del browser e distribuisce un componente di furto di dati in grado di raccogliere con discrezione informazioni sensibili. Crittografa inoltre i file rubati, esponendo le vittime al rischio di perdita di dati, esposizione o potenziale vendita dei loro preziosi dati.

Zscaler ha osservato interazioni sospette che si verificano attraverso una connessione FTP (File Transfer Protocol), suggerendo che dati preziosi potrebbero essere esfiltrati verso l'infrastruttura controllata dagli attori delle minacce.

Nella fase finale, il componente ransomware di RedEnergy procede a crittografare i dati dell'utente, aggiungendo ".FACKOFF!" estensione a ciascun file crittografato, eliminando i backup esistenti e lasciando una nota di riscatto in ogni cartella.

Per riottenere l'accesso ai propri file, le vittime devono effettuare un pagamento di 0,005 BTC (circa $ 151) a un portafoglio di criptovaluta menzionato nella richiesta di riscatto. La capacità di RedEnergy di funzionare sia come ladro di dati che come ransomware segna un'evoluzione nel panorama del crimine informatico.