RedEnergy Stealer slaat toe bij industriële entiteiten

Een zeer geavanceerde dreiging voor ransomware en het stelen van gegevens, genaamd RedEnergy, is geïdentificeerd, gericht op energiebedrijven, olie-, gas-, telecom- en machinesectoren in Brazilië en de Filippijnen via hun LinkedIn-pagina's.

Volgens een recente analyse door Zscaler-onderzoekers bezit deze .NET-malware de mogelijkheid om gevoelige gegevens te extraheren door informatie uit verschillende webbrowsers te stelen. Het bevat meerdere modules om zowel gegevensdiefstal als ransomware-activiteiten uit te voeren. Het doel van RedEnergy is om gegevensdiefstal en encryptie te combineren om de schade aan slachtoffers te maximaliseren.

RedEnergy-bedrijfsmodus

De aanval begint met een FakeUpdates-campagne (ook bekend als SocGholish), die gebruikers verleidt tot het downloaden van op JavaScript gebaseerde malware, vermomd als webbrowser-updates.

Wat deze aanval onderscheidt, is het gebruik van legitieme LinkedIn-pagina's om slachtoffers te targeten. Wanneer gebruikers op de website-URL's klikken, worden ze omgeleid naar een nep-bestemmingspagina die hen aanspoort om hun webbrowser bij te werken door op de respectieve pictogrammen te klikken (Google Chrome, Microsoft Edge, Mozilla Firefox of Opera). Deze actie leidt tot het downloaden van een kwaadaardig uitvoerbaar bestand.

Zodra een succesvolle inbreuk is bereikt, zorgt het kwaadaardige binaire bestand voor persistentie, voert het de eigenlijke browserupdate uit en implementeert het een gegevensstelende component die in staat is om discreet gevoelige informatie te verzamelen. Het versleutelt ook de gestolen bestanden, waardoor de slachtoffers het risico lopen op gegevensverlies, blootstelling of mogelijke verkoop van hun waardevolle gegevens.

Zscaler heeft verdachte interacties waargenomen die plaatsvinden via een File Transfer Protocol (FTP)-verbinding, wat suggereert dat waardevolle gegevens kunnen worden geëxfiltreerd naar infrastructuur die wordt beheerd door de bedreigingsactoren.

In de laatste fase gaat de ransomware-component van RedEnergy verder met het versleutelen van de gegevens van de gebruiker, waarbij de ".FACKOFF!" extensie toe aan elk versleuteld bestand, het verwijderen van bestaande back-ups en het achterlaten van een losgeldbriefje in elke map.

Om weer toegang te krijgen tot hun bestanden, wordt van slachtoffers verwacht dat ze een betaling van 0,005 BTC (ongeveer $ 151) doen aan een cryptocurrency-portemonnee die wordt vermeld in de losgeldbrief. Het vermogen van RedEnergy om te functioneren als zowel een gegevensdief als ransomware markeert een evolutie in het landschap van cybercriminaliteit.