RedEnergy Stealer slår til mot industrielle enheter
En svært sofistikert løsepenge- og datatyveri ved navn RedEnergy er identifisert, rettet mot energiselskaper, olje, gass, telekom og maskinsektorer i Brasil og Filippinene gjennom deres LinkedIn-sider.
I følge en fersk analyse fra Zscaler-forskere har denne .NET-skadevare muligheten til å trekke ut sensitive data ved å stjele informasjon fra ulike nettlesere. Den inneholder flere moduler for å utføre både datatyveri og løsepengevareaktiviteter. Målet med RedEnergy er å kombinere datatyveri og kryptering for å maksimere skaden påført ofre.
RedEnergy Driftsmodus
Angrepet begynner med en FakeUpdates (også kjent som SocGholish)-kampanje, som lurer brukere til å laste ned JavaScript-basert skadelig programvare forkledd som nettleseroppdateringer.
Det som skiller dette angrepet er bruken av legitime LinkedIn-sider for å målrette mot ofre. Når brukere klikker på nettadressene, blir de omdirigert til en falsk landingsside som oppfordrer dem til å oppdatere nettleserne sine ved å klikke på de respektive ikonene (Google Chrome, Microsoft Edge, Mozilla Firefox eller Opera). Denne handlingen fører til nedlasting av en ondsinnet kjørbar fil.
Når et vellykket brudd er oppnådd, etablerer den ondsinnede binære filen utholdenhet, utfører den faktiske nettleseroppdateringen og distribuerer en data-stjelingskomponent som er i stand til diskret å samle inn sensitiv informasjon. Den krypterer også de stjålne filene, og setter ofrene i fare for tap av data, eksponering eller potensielt salg av deres verdifulle data.
Zscaler har observert mistenkelige interaksjoner som skjer gjennom en File Transfer Protocol (FTP)-forbindelse, noe som tyder på at verdifulle data kan bli eksfiltrert til infrastruktur kontrollert av trusselaktørene.
I sluttfasen fortsetter RedEnergys løsepengevarekomponent med å kryptere brukerens data, og legger til ".FACKOFF!" utvidelse til hver kryptert fil, slette eksisterende sikkerhetskopier og legge igjen en løsepenger i hver mappe.
For å få tilbake tilgang til filene sine, forventes ofrene å betale 0,005 BTC (omtrent $151) til en kryptovaluta-lommebok nevnt i løsepengene. RedEnergys evne til å fungere som både datatyver og løsepengevare markerer en utvikling i nettkriminalitetslandskapet.
