adlı gelişmiş bir fidye yazılımı olarak hırsız tehdidi kırmızı enerji LinkedIn sayfaları aracılığıyla Brezilya ve Filipinler’deki enerji hizmetleri, petrol, gaz, telekomünikasyon ve makine sektörlerini hedef alan çılgınca tespit edildi.
Zscaler araştırmacıları Shatak Jain ve Gurkirat Singh, kötü amaçlı yazılımın “çeşitli tarayıcılardan bilgi çalma, hassas verilerin dışarı sızmasını sağlama ve aynı zamanda fidye yazılımı faaliyetlerini yürütmek için farklı modüller içerme yeteneğine sahip olduğunu” söyledi. söz konusu son bir analizde.
Araştırmacıların belirttiği amaç, kurbanlara maksimum zarar vermek amacıyla veri hırsızlığını şifreleme ile birleştirmek.
Çok aşamalı saldırının başlangıç noktası, kullanıcıları web tarayıcı güncellemeleri kisvesi altında JavaScript tabanlı kötü amaçlı yazılım indirmeleri için kandıran bir FakeUpdates (diğer adıyla SocGholish) kampanyasıdır.
Onu yeni yapan şey, kurbanları hedeflemek için saygın LinkedIn sayfalarının kullanılması, web sitesi URL’lerini tıklayan kullanıcıları uygun simgeye (Google Chrome, Microsoft Edge, Mozilla Firefox) tıklayarak web tarayıcılarını güncellemelerini isteyen sahte bir açılış sayfasına yönlendiriyor. , veya Opera), bu da kötü amaçlı bir yürütülebilir dosyanın indirilmesine neden olur.
Başarılı bir ihlalin ardından, kötü amaçlı ikili dosya, kalıcılığı ayarlamak, gerçek tarayıcı güncellemesini gerçekleştirmek ve ayrıca hassas bilgileri gizlice toplayabilen ve çalınan dosyaları şifreleyerek kurbanları potansiyel veri kaybı riskiyle karşı karşıya bırakabilen bir hırsız bırakmak için bir kanal olarak kullanılır. , teşhir ve hatta değerli verilerinin satışı.
Zscaler, bir Dosya Aktarım Protokolü (FTP) bağlantısı üzerinden gerçekleşen şüpheli etkileşimleri keşfettiğini ve bunun da değerli verilerin aktör kontrollü altyapıya sızma olasılığını artırdığını söyledi.
Son aşamada, RedEnergy’nin fidye yazılımı bileşeni, “.FACKOFF!” her şifrelenmiş dosyaya uzantı, mevcut yedeklemeleri silme ve her klasöre bir fidye notu bırakma.
Kurbanların, dosyalara yeniden erişim kazanmak için notta belirtilen bir kripto para cüzdanına 0,005 BTC (yaklaşık 151 $) ödemesi bekleniyor. RedEnergy’nin hırsız ve fidye yazılımı olarak ikili işlevleri, siber suç ortamının bir evrimini temsil ediyor.
Gelişme aynı zamanda aşağıdakileri de takip eder: ortaya çıkış Venom RAT gibi uzaktan erişim truva atlarının yer aldığı yeni bir fidye yazılımı olarak RAT tehdit kategorisi ve Anarşi Paneli RAT çeşitli dosya uzantılarını şifreleme engellerinin arkasına kilitlemek için fidye yazılımı modülleri ile donatılmıştır.
Araştırmacılar, “Bireylerin ve kuruluşların, özellikle LinkedIn profillerinden bağlantı verilen web sitelerine erişirken azami dikkat göstermeleri çok önemlidir” dedi. “Tarayıcı güncellemelerinin gerçekliğini doğrulama konusunda dikkatli olmak ve beklenmedik dosya indirmelerine karşı dikkatli olmak, bu tür kötü amaçlı kampanyalara karşı korunmak için çok önemlidir.”
