RedEnergy 竊取者襲擊工業實體

已發現一種名為 RedEnergy 的高度複雜的勒索軟件和數據竊取威脅，該威脅通過其 LinkedIn 頁面針對巴西和菲律賓的能源公用事業、石油、天然氣、電信和機械行業。

根據 Zscaler 研究人員最近的分析，該 .NET 惡意軟件具有通過竊取各種 Web 瀏覽器信息來提取敏感數據的能力。它包含多個模塊來執行數據盜竊和勒索軟件活動。 RedEnergy 的目標是將數據盜竊和加密結合起來，最大限度地減少對受害者造成的損害。

紅能運作模式

該攻擊始於 FakeUpdates（也稱為 SocGholish）活動，該活動誘騙用戶下載偽裝成網絡瀏覽器更新的基於 JavaScript 的惡意軟件。

這種攻擊的獨特之處在於使用合法的 LinkedIn 頁面來瞄準受害者。當用戶點擊網站 URL 時，他們會被重定向到一個虛假的登陸頁面，該頁面敦促他們通過點擊相應的圖標（Google Chrome、Microsoft Edge、Mozilla Firefox 或 Opera）來更新其網絡瀏覽器。此操作會導致下載惡意可執行文件。

一旦成功突破，惡意二進製文件就會建立持久性，執行實際的瀏覽器更新，並部署能夠秘密收集敏感信息的數據竊取組件。它還對被盜文件進行加密，使受害者面臨數據丟失、暴露或有價值數據可能被出售的風險。

Zscaler 觀察到通過文件傳輸協議 (FTP) 連接發生的可疑交互，這表明有價值的數據可能會洩露到威脅行為者控制的基礎設施中。

在最後階段，RedEnergy 的勒索軟件組件繼續加密用戶的數據，並附加“.FACKOFF!”每個加密文件的擴展名，刪除現有備份，並在每個文件夾中留下勒索字條。

為了重新訪問他們的文件，受害者需要向勒索信中提到的加密貨幣錢包支付 0.005 BTC（約 151 美元）。 RedEnergy 能夠同時充當數據竊取者和勒索軟件，這標誌著網絡犯罪領域的演變。