RedEnergy Stealer наносит удары по промышленным объектам

На их страницах в LinkedIn была обнаружена очень сложная программа-вымогатель и кража данных под названием RedEnergy, нацеленная на энергетические, нефтяные, газовые, телекоммуникационные и машиностроительные отрасли в Бразилии и на Филиппинах.

Согласно недавнему анализу, проведенному исследователями Zscaler, это вредоносное ПО для .NET обладает способностью извлекать конфиденциальные данные путем кражи информации из различных веб-браузеров. Он включает в себя несколько модулей для кражи данных и действий программ-вымогателей. Цель RedEnergy — объединить кражу данных и шифрование, чтобы максимизировать ущерб, нанесенный жертвам.

Режим работы RedEnergy

Атака начинается с кампании FakeUpdates (также известной как SocGholish), которая обманом заставляет пользователей загружать вредоносное ПО на основе JavaScript, замаскированное под обновления веб-браузера.

Что отличает эту атаку, так это использование законных страниц LinkedIn для нацеливания на жертв. Когда пользователи нажимают на URL-адреса веб-сайта, они перенаправляются на фальшивую целевую страницу, которая призывает их обновить свои веб-браузеры, нажав на соответствующие значки (Google Chrome, Microsoft Edge, Mozilla Firefox или Opera). Это действие приводит к загрузке вредоносного исполняемого файла.

После успешного взлома вредоносный двоичный файл устанавливает постоянство, выполняет фактическое обновление браузера и развертывает компонент для кражи данных, способный незаметно собирать конфиденциальную информацию. Он также шифрует украденные файлы, подвергая жертв риску потери данных, раскрытия или потенциальной продажи их ценных данных.

Zscaler наблюдал подозрительные взаимодействия, происходящие через соединение протокола передачи файлов (FTP), что позволяет предположить, что ценные данные могут быть переданы в инфраструктуру, контролируемую злоумышленниками.

На заключительном этапе компонент вымогателя RedEnergy приступает к шифрованию данных пользователя, добавляя «.FACKOFF!» расширение для каждого зашифрованного файла, удаление существующих резервных копий и оставление записки о выкупе в каждой папке.

Чтобы восстановить доступ к своим файлам, жертвы должны внести 0,005 BTC (приблизительно 151 доллар США) на криптовалютный кошелек, упомянутый в записке о выкупе. Способность RedEnergy функционировать как в качестве похитителя данных, так и в качестве программы-вымогателя знаменует собой эволюцию в сфере киберпреступности.