RedEnergy Stealer uderza w podmioty przemysłowe
Zidentyfikowano wysoce wyrafinowane oprogramowanie ransomware i zagrożenie kradzieży danych o nazwie RedEnergy, atakujące sektory energetyczne, naftowy, gazowy, telekomunikacyjny i maszynowy w Brazylii i na Filipinach za pośrednictwem ich stron LinkedIn.
Według niedawnej analizy przeprowadzonej przez badaczy Zscaler, to złośliwe oprogramowanie .NET posiada zdolność wydobywania wrażliwych danych poprzez kradzież informacji z różnych przeglądarek internetowych. Zawiera wiele modułów do przeprowadzania zarówno kradzieży danych, jak i działań ransomware. Celem RedEnergy jest połączenie kradzieży danych i szyfrowania, aby zmaksymalizować szkody wyrządzone ofiarom.
Tryb pracy RedEnergy
Atak rozpoczyna się od kampanii FakeUpdates (znanej również jako SocGholish), która nakłania użytkowników do pobrania złośliwego oprogramowania opartego na JavaScript, udającego aktualizacje przeglądarki internetowej.
Tym, co wyróżnia ten atak, jest wykorzystanie legalnych stron LinkedIn do atakowania ofiar. Gdy użytkownicy klikają adresy URL witryn, są przekierowywani na fałszywą stronę docelową, która nakłania ich do zaktualizowania przeglądarki internetowej poprzez kliknięcie odpowiednich ikon (Google Chrome, Microsoft Edge, Mozilla Firefox lub Opera). Ta akcja prowadzi do pobrania złośliwego pliku wykonywalnego.
Po pomyślnym naruszeniu złośliwy plik binarny ustanawia trwałość, przeprowadza rzeczywistą aktualizację przeglądarki i wdraża komponent kradnący dane, który jest w stanie dyskretnie zbierać poufne informacje. Szyfruje również skradzione pliki, narażając ofiary na utratę danych, ujawnienie lub potencjalną sprzedaż ich cennych danych.
Zscaler zaobserwował podejrzane interakcje zachodzące za pośrednictwem połączenia File Transfer Protocol (FTP), co sugeruje, że cenne dane mogą zostać wyeksfiltrowane do infrastruktury kontrolowanej przez cyberprzestępców.
W końcowym etapie komponent ransomware RedEnergy przystępuje do zaszyfrowania danych użytkownika, dodając ".FACKOFF!" rozszerzenia do każdego zaszyfrowanego pliku, usuwając istniejące kopie zapasowe i pozostawiając żądanie okupu w każdym folderze.
Aby odzyskać dostęp do swoich plików, oczekuje się, że ofiary dokonają wpłaty w wysokości 0,005 BTC (około 151 USD) na portfel kryptowalut wymieniony w żądaniu okupu. Zdolność RedEnergy do działania zarówno jako narzędzie do kradzieży danych, jak i oprogramowanie ransomware oznacza ewolucję krajobrazu cyberprzestępczości.
