„RedEnergy Stealer“ streikai pramonės subjektams

Buvo nustatyta labai sudėtinga išpirkos reikalaujanti programinė įranga ir duomenų vagystės grėsmė, pavadinta „RedEnergy“, kuri nukreipta į energetikos, naftos, dujų, telekomunikacijų ir mašinų sektorius Brazilijoje ir Filipinuose per jų „LinkedIn“ puslapius.

Remiantis naujausia „Zscaler“ tyrėjų analize, ši .NET kenkėjiška programa turi galimybę išgauti neskelbtinus duomenis vogdama informaciją iš įvairių interneto naršyklių. Jame yra keli moduliai, skirti vykdyti duomenų vagystę ir išpirkos reikalaujančią veiklą. „RedEnergy“ tikslas yra sujungti duomenų vagystes ir šifravimą, kad būtų maksimaliai padidinta aukoms daroma žala.

RedEnergy veikimo režimas

Ataka prasideda „FakeUpdates“ (taip pat žinoma kaip „SocGholish“) kampanija, kurios metu vartotojai apgaudinėjami atsisiųsti JavaScript pagrįstą kenkėjišką programą, užmaskuotą kaip žiniatinklio naršyklės naujinimus.

Tai, kas išskiria šią ataką, yra teisėtų „LinkedIn“ puslapių naudojimas siekiant nukreipti į aukas. Kai vartotojai spustelėja svetainės URL, jie nukreipiami į netikrą nukreipimo puslapį, kuriame jie raginami atnaujinti žiniatinklio naršykles spustelėjus atitinkamas piktogramas (Google Chrome, Microsoft Edge, Mozilla Firefox arba Opera). Atlikus šį veiksmą atsisiunčiamas kenkėjiškas vykdomasis failas.

Pasiekus sėkmingą pažeidimą, kenkėjiškas dvejetainis failas užtikrina patvarumą, atlieka tikrąjį naršyklės atnaujinimą ir įdiegia duomenų vagystės komponentą, galintį diskretiškai surinkti neskelbtiną informaciją. Ji taip pat užšifruoja pavogtus failus, todėl aukoms kyla pavojus prarasti duomenis, būti atskleista ar galimai parduoti vertingus duomenis.

Zscaler pastebėjo įtartinas sąveikas, vykstančias naudojant failų perdavimo protokolo (FTP) ryšį, o tai rodo, kad vertingi duomenys gali būti perkelti į infrastruktūrą, kurią kontroliuoja grėsmės veikėjai.

Paskutiniame etape RedEnergy ransomware komponentas užšifruoja vartotojo duomenis, pridėdamas ".FACKOFF!" kiekvieno šifruoto failo plėtinį, ištrinant esamas atsargines kopijas ir kiekviename aplanke paliekant išpirkos raštelį.

Kad atgautų prieigą prie savo failų, aukos turėtų sumokėti 0,005 BTC (apie 151 USD) į kriptovaliutos piniginę, nurodytą išpirkos raštelyje. „RedEnergy“ gebėjimas veikti ir kaip duomenų vagystė, ir kaip išpirkos reikalaujančios programos, žymi kibernetinių nusikaltimų kraštovaizdžio raidą.