RedEnergy Stealer ataca entidades industriais

Uma ameaça altamente sofisticada de ransomware e roubo de dados chamada RedEnergy foi identificada, visando os setores de serviços públicos de energia, petróleo, gás, telecomunicações e máquinas no Brasil e nas Filipinas por meio de suas páginas no LinkedIn.

De acordo com uma análise recente dos pesquisadores do Zscaler, esse malware .NET possui a capacidade de extrair dados confidenciais roubando informações de vários navegadores da web. Ele incorpora vários módulos para realizar atividades de roubo de dados e ransomware. O objetivo da RedEnergy é combinar roubo de dados e criptografia para maximizar os danos infligidos às vítimas.

Modo de Operação RedEnergy

O ataque começa com uma campanha FakeUpdates (também conhecida como SocGholish), que induz os usuários a baixar um malware baseado em JavaScript disfarçado de atualizações do navegador da web.

O que diferencia esse ataque é o uso de páginas legítimas do LinkedIn para atingir as vítimas. Quando os usuários clicam nos URLs do site, eles são redirecionados para uma página de destino falsa que os insta a atualizar seus navegadores da web clicando nos respectivos ícones (Google Chrome, Microsoft Edge, Mozilla Firefox ou Opera). Esta ação leva ao download de um arquivo executável malicioso.

Depois que uma violação bem-sucedida é alcançada, o binário malicioso estabelece persistência, executa a atualização real do navegador e implanta um componente de roubo de dados capaz de coletar discretamente informações confidenciais. Ele também criptografa os arquivos roubados, colocando as vítimas em risco de perda de dados, exposição ou possível venda de seus dados valiosos.

O Zscaler observou interações suspeitas ocorrendo por meio de uma conexão FTP (File Transfer Protocol), sugerindo que dados valiosos podem ser exfiltrados para a infraestrutura controlada pelos agentes da ameaça.

No estágio final, o componente ransomware da RedEnergy prossegue para criptografar os dados do usuário, acrescentando o ".FACKOFF!" extensão para cada arquivo criptografado, excluindo backups existentes e deixando uma nota de resgate em cada pasta.

Para recuperar o acesso aos seus arquivos, espera-se que as vítimas façam um pagamento de 0,005 BTC (aproximadamente US$ 151) para uma carteira de criptomoeda mencionada na nota de resgate. A capacidade da RedEnergy de funcionar como ladrão de dados e ransomware marca uma evolução no cenário do crime cibernético.