RedEnergy 窃盗犯が産業団体を襲撃

RedEnergy という名前の非常に洗練されたランサムウェアとデータ窃取の脅威が確認され、LinkedIn ページを通じてブラジルとフィリピンのエネルギー会社、石油、ガス、通信、機械部門を標的にしています。

Zscaler 研究者による最近の分析によると、この .NET マルウェアは、さまざまな Web ブラウザから情報を盗むことによって機密データを抽出する機能を備えています。データ盗難とランサムウェア活動の両方を実行する複数のモジュールが組み込まれています。 RedEnergy の目的は、データ盗難と暗号化を組み合わせて、被害者に与えられる損害を最大化することです。

RedEnergy の動作モード

この攻撃は、ユーザーをだまして Web ブラウザのアップデートを装った JavaScript ベースのマルウェアをダウンロードさせる FakeUpdates (SocGholish としても知られる) キャンペーンから始まります。

この攻撃の特徴は、被害者をターゲットにするために正規の LinkedIn ページが使用されていることです。ユーザーが Web サイトの URL をクリックすると、偽のランディング ページにリダイレクトされ、それぞれのアイコン (Google Chrome、Microsoft Edge、Mozilla Firefox、または Opera) をクリックして Web ブラウザを更新するよう促します。このアクションにより、悪意のある実行可能ファイルがダウンロードされます。

侵害が成功すると、悪意のあるバイナリは永続性を確立し、実際のブラウザ更新を実行し、機密情報を慎重に収集できるデータ窃取コンポーネントを展開します。また、盗まれたファイルも暗号化されるため、被害者はデータの損失、漏洩、または貴重なデータの売却の可能性のリスクにさらされます。

Zscaler は、ファイル転送プロトコル (FTP) 接続を通じて発生する不審なやり取りを観察しており、貴重なデータが脅威アクターによって制御されているインフラストラクチャに流出する可能性があることを示唆しています。

最終段階では、RedEnergy のランサムウェア コンポーネントがユーザーのデータの暗号化を進め、「.FACKOFF!」を追加します。各暗号化ファイルに拡張子を付け、既存のバックアップを削除し、各フォルダーに身代金メモを残します。

ファイルへのアクセスを取り戻すために、被害者は身代金メモに記載されている暗号通貨ウォレットに 0.005 BTC (約 151 ドル) を支払う必要があります。データ窃盗とランサムウェアの両方として機能する RedEnergy の機能は、サイバー犯罪情勢の進化を示しています。