RedEnergy Stealer slår till mot industriella enheter
Ett mycket sofistikerat ransomware- och datastöldhot vid namn RedEnergy har identifierats, inriktat på energibolag, olja, gas, telekom och maskinsektorer i Brasilien och Filippinerna via deras LinkedIn-sidor.
Enligt en nyligen genomförd analys av Zscaler-forskare har denna .NET-skadliga programvara förmågan att extrahera känslig data genom att stjäla information från olika webbläsare. Den innehåller flera moduler för att utföra både datastöld och ransomware-aktiviteter. Målet med RedEnergy är att kombinera datastöld och kryptering för att maximera skadan som drabbar offren.
RedEnergy Driftläge
Attacken börjar med en FakeUpdates (även känd som SocGholish)-kampanj, som lurar användare att ladda ner JavaScript-baserad skadlig programvara förklädd som webbläsaruppdateringar.
Det som skiljer denna attack åt är användningen av legitima LinkedIn-sidor för att rikta in sig på offer. När användare klickar på webbadresserna omdirigeras de till en falsk målsida som uppmanar dem att uppdatera sina webbläsare genom att klicka på respektive ikon (Google Chrome, Microsoft Edge, Mozilla Firefox eller Opera). Denna åtgärd leder till nedladdning av en skadlig körbar fil.
När ett framgångsrikt intrång har uppnåtts, etablerar den skadliga binära filen persistens, utför den faktiska webbläsaruppdateringen och distribuerar en datastjälkomponent som diskret kan samla in känslig information. Den krypterar också de stulna filerna, vilket utsätter offren för risk för dataförlust, exponering eller potentiell försäljning av deras värdefulla data.
Zscaler har observerat misstänkta interaktioner som sker via en FTP-anslutning (File Transfer Protocol), vilket tyder på att värdefull data kan exfiltreras till infrastruktur som kontrolleras av hotaktörerna.
I det sista skedet fortsätter RedEnergys ransomware-komponent att kryptera användarens data och lägger till ".FACKOFF!" förlängning av varje krypterad fil, ta bort befintliga säkerhetskopior och lämna en lösennota i varje mapp.
För att återfå tillgång till sina filer förväntas offren göra en betalning på 0,005 BTC (ungefär 151 $) till en kryptovaluta-plånbok som nämns i lösennotan. RedEnergys förmåga att fungera som både datastjälare och ransomware markerar en utveckling i cyberbrottslandskapet.
