RedEnergy Stealer

RedEnergy е изключително усъвършенстван крадец на информация, който се прочу със своите измамни тактики и многостранни възможности. Този заплашителен софтуер приема умела маскировка, като се представя за фалшива актуализация за различни популярни уеб браузъри, като по този начин се насочва към широк спектър от индустриални сектори. Използвайки това прикритие, RedEnergy успява да проникне в нищо неподозиращи системи и да изпълни престъпните си операции.

Една от ключовите функции на RedEnergy е умението му да извлича чувствителна информация от множество различни уеб браузъри. Това позволява на злонамерения софтуер да извлича ценни данни като идентификационни данни за вход, лични данни и финансова информация, излагайки лица и организации на значителен риск от кражба на данни и нарушения на поверителността. Възможността за събиране на информация в множество браузъри разширява обхвата и потенциалното въздействие на RedEnergy, което го прави мощна заплаха за сигурността на цифровия живот на потребителите.

Освен това RedEnergy надхвърля възможностите си за събиране на информация, като включва допълнителни модули, които улесняват дейностите с ransomware. Това означава, че в допълнение към ексфилтрирането на ценни данни, зловредният софтуер има потенциала да криптира файлове в заразените системи и да изисква откуп за тяхното освобождаване. Тази двойна функционалност на RedEnergy, съчетаваща кражба на информация с възможност за внедряване на ransomware, го поставя в отделна категория, известна като „Stealer-as-a-Ransomware“.

RedEnergy Stealer се маскира като легитимна актуализация на браузъра

При активиране вредният изпълним файл на RedEnergy маскира истинската си идентичност, представяйки се за легитимна актуализация на браузъра. Като умело имитира популярни браузъри, като Google Chrome, Microsoft Edge, Firefox и Opera, RedEnergy има за цел да накара нищо неподозиращите потребители да повярват, че актуализацията е истинска и надеждна.

След като потребителят бъде подмамен да изтегли и изпълни измамната актуализация, RedEnergy продължава да депозира общо четири файла в компрометираната система. Тези файлове се състоят от два временни файла и два изпълними файла, като единият от тях служи като опасен полезен товар. Едновременно с това злонамереният софтуер инициира допълнителен фонов процес, който представлява злонамерения полезен товар, гарантирайки неговото изпълнение. Тъй като този полезен товар е отприщен, той показва обидно съобщение на нещастната жертва, добавяйки допълнителен слой злонамерени намерения към своите операции.

За да изостри допълнително заплахата, RedEnergy също е оборудван с механизъм за устойчивост. Този механизъм позволява на злонамерения софтуер да остане в заразената система дори след като потребителят рестартира или изключи компютъра. Това гарантира непрекъснатата работа на RedEnergy и способността му да извършва злонамерени дейности без прекъсване, усилвайки въздействието и дълготрайността на неговите атаки.

RedEnergy Stealer е в състояние да извършва Ransomware атаки

RedEnergy включва модули за рансъмуер в своя полезен товар, което му позволява да криптира ценните данни на жертвата. Заплахата добавя '.FACKOFF!' разширение на имената на всички криптирани файлове. Това криптиране прави файловете недостъпни и служи като метод за принуда за извличане на откуп от жертвата. За допълнително сплашване и налагане на контрол, RedEnergy представя на жертвата съобщение за откуп, озаглавено „read_it.txt“, което очертава исканията за плащане в замяна на ключа за дешифриране. Като допълнителна тактика рансъмуерът променя тапета на работния плот, служейки като визуално напомняне за компромиса и необходимостта да се съобразят с изискванията на нападателите.

В безмилостния си стремеж да наруши способността на жертвата да възстанови данните си, модулите за рансъмуер, внедрени от RedEnergy, участват и в друго разрушително действие. Те са насочени към shadow drive, функция в операционната система Windows, която позволява на потребителите да създават резервни копия на своите файлове. Чрез изтриване на данни от устройството в сянка, RedEnergy ефективно елиминира всякакви потенциални резервни копия, които биха могли да помогнат на жертвата да възстанови своите криптирани файлове, засилвайки спешността и натиска да се съобразят с исканията за откуп.

Освен това опасният изпълним файл, свързан с RedEnergy, манипулира важен конфигурационен файл, наречен desktop.ini. Този файл съхранява критични настройки за папките на файловата система, включително техния външен вид и поведение. Чрез тази манипулация RedEnergy придобива способността да променя външния вид на папките на файловата система, потенциално използвайки тази способност, за да прикрие своето присъствие и дейности в компрометираната система. Чрез подправяне на файла desktop.ini, RedEnergy може да създаде измамна среда, която маскира престъпните му действия и допълнително възпрепятства способността на жертвата да открие и смекчи въздействието на ransomware.

Интегрирането на модули за рансъмуер в полезния товар на RedEnergy, съчетано с криптирането на файлове, представянето на съобщение за откуп и промяната на тапета на работния плот, показва злонамереното намерение и усъвършенстваните тактики, използвани от тази заплаха. Изтриването на данни от сенчестия диск изостря сериозността на атаката, като елиминира потенциалните пътища за възстановяване на данни. Защитата на системите със стабилни мерки за сигурност и поддържането на актуални резервни копия на външни дискове или в облака е от решаващо значение за смекчаване на рисковете, породени от RedEnergy и подобни заплахи от зловреден софтуер.