RedEnergy 窃取者袭击工业实体

已发现一种名为 RedEnergy 的高度复杂的勒索软件和数据窃取威胁，该威胁通过其 LinkedIn 页面针对巴西和菲律宾的能源公用事业、石油、天然气、电信和机械行业。

根据 Zscaler 研究人员最近的分析，该 .NET 恶意软件具有通过窃取各种 Web 浏览器信息来提取敏感数据的能力。它包含多个模块来执行数据盗窃和勒索软件活动。 RedEnergy 的目标是将数据盗窃和加密结合起来，最大限度地减少对受害者造成的损害。

红能运作模式

该攻击始于 FakeUpdates（也称为 SocGholish）活动，该活动诱骗用户下载伪装成网络浏览器更新的基于 JavaScript 的恶意软件。

这种攻击的独特之处在于使用合法的 LinkedIn 页面来瞄准受害者。当用户点击网站 URL 时，他们会被重定向到一个虚假的登陆页面，该页面敦促他们通过点击相应的图标（Google Chrome、Microsoft Edge、Mozilla Firefox 或 Opera）来更新其网络浏览器。此操作会导致下载恶意可执行文件。

一旦成功突破，恶意二进制文件就会建立持久性，执行实际的浏览器更新，并部署能够秘密收集敏感信息的数据窃取组件。它还对被盗文件进行加密，使受害者面临数据丢失、暴露或有价值数据可能被出售的风险。

Zscaler 观察到通过文件传输协议 (FTP) 连接发生的可疑交互，这表明有价值的数据可能会泄露到威胁行为者控制的基础设施中。

在最后阶段，RedEnergy 的勒索软件组件继续加密用户的数据，并附加“.FACKOFF!”每个加密文件的扩展名，删除现有备份，并在每个文件夹中留下勒索字条。

为了重新访问他们的文件，受害者需要向勒索信中提到的加密货币钱包支付 0.005 BTC（约 151 美元）。 RedEnergy 能够同时充当数据窃取者和勒索软件，这标志着网络犯罪领域的演变。