Sofistikovana pretnja kradljivaca kao ransomware-a nazvana RedEnergy uočena je u praksi kako cilja na energetske kompanije, naftu, plin, telekomunikacije i sektore mašina u Brazilu i na Filipinima putem njihovih stranica na LinkedIn-u.
.NET maliciozni softver “posjeduje mogućnost krađe informacija iz različitih pretraživača, omogućavajući eksfiltraciju osjetljivih podataka, dok takođe uključuje različite module za provođenje aktivnosti ransomware-a” rekli su istraživači Zscalera Shatak Jain i Gurkirat Singh u nedavnoj analizi.
Cilj je, ističu istraživači, spojiti krađu podataka sa enkripcijom s ciljem nanošenja maksimalne štete žrtvama.
Polazna tačka za napad u više faza je kampanja FakeUpdates (aka SocGholish) koja obmanjuje korisnike da preuzmu maliciozni softver zasnovan na JavaScript-u pod krinkom ažuriranja web pretraživača.
Ono što ga čini novim je upotreba renomiranih LinkedIn stranica za ciljanje žrtava, preusmjeravanje korisnika koji kliknu na URL web stranice na lažnu odredišnu stranicu koja ih podstiče da ažuriraju svoje web preglednike klikom na odgovarajuću ikonu (Google Chrome, Microsoft Edge, Mozilla Firefox, Opera), čineći to što rezultuje preuzimanjem maliciozne izvršne datoteke.
Nakon uspješnog proboja, maliciozni binarni program se koristi kao kanal za postavljanje postojanosti, izvođenje stvarnog ažuriranja pretraživača, a takođe i izbacivanje kradljivaca koji je sposoban tajno prikupiti osjetljive informacije i šifrovati ukradene datoteke, ostavljajući žrtve u riziku od potencijalnog gubitka podataka , izlaganje ili čak prodaju njihovih vrijednih podataka.
Zscaler je rekao da je otkrio sumnjive interakcije koje se odvijaju preko veze protokola za prenos datoteka (FTP), što povećava mogućnost da se vrijedni podaci eksfiltruju u infrastrukturu koju kontrolišu hakeri.
U završnoj fazi, RedEnergy-eva ransomware komponenta nastavlja sa šifrovanjem podataka korisnika, dodajući sufiks “.FACKOFF!” proširenje na svaku šifrovanu datoteku, brisanje postojećih rezervnih kopija i ispuštanje napomene o otkupnini u svakoj fascikli.
Očekuje se da će žrtve uplatiti 0,005 BTC (oko 151 USD) u novčanik kriptovalute koji se spominje u bilješci kako bi povratili pristup datotekama. Dvostruke funkcije RedEnergy-a kao kradljivaca i ransomware-a predstavljaju evoluciju kibernetičkog kriminala.
Razvoj takođe prati pojavu nove kategorije pretnji RAT-as-a-ransomware u kojoj su trojanci za daljinski pristup, kao što su Venom RAT i Anarchy Panel RAT, opremljeni ransomware modulima za zaključavanje različitih ekstenzija datoteka iza barijera šifrovanja.
“Ključno je da pojedinci i organizacije budu krajnje oprezni kada pristupaju web stranicama, posebno onima na koje se povezuju sa LinkedIn profila” rekli su istraživači. “Budnost u provjeravanju autentičnosti ažuriranja pretraživača i oprez u slučaju neočekivanih preuzimanja datoteka je najvažniji za zaštitu od takvih malicioznih kampanja.”
Izvor: The Hacker News