RedEnergy Stealer
RedEnergy és un robatori d'informació altament sofisticat que ha guanyat notorietat per les seves tàctiques enganyoses i les seves capacitats polifacètiques. Aquest programari amenaçador adopta una disfressa intel·ligent fent-se passar per una actualització falsa per a diversos navegadors web populars, dirigint-se així a una àmplia gamma de sectors de la indústria. Aprofitant aquesta aparença, RedEnergy aconsegueix infiltrar-se en sistemes desprevinguts i executar les seves operacions nefastes.
Una de les funcionalitats clau de RedEnergy és la seva competència per extreure informació sensible de nombrosos navegadors web diferents. Això permet que el programari maliciós recuperi dades valuoses, com ara credencials d'inici de sessió, dades personals i informació financera, posant les persones i les organitzacions en un risc important de robatori de dades i violacions de la privadesa. La capacitat de recopilar informació a través de diversos navegadors amplia l'abast i l'impacte potencial de RedEnergy, convertint-lo en una potent amenaça per a la seguretat de la vida digital dels usuaris.
A més, RedEnergy va més enllà de les seves capacitats de recollida d'informació incorporant mòduls addicionals que faciliten les activitats de ransomware. Això vol dir que, a més d'exfiltrar dades valuoses, el programari maliciós té el potencial de xifrar fitxers dels sistemes infectats i exigir un rescat per al seu alliberament. Aquesta doble funcionalitat de RedEnergy, que combina el robatori d'informació amb la capacitat de desplegar ransomware, el situa en una categoria diferent coneguda com "Stealer-as-a-Ransomware".
RedEnergy Stealer es fa passar com una actualització legítima del navegador
En activar-se, l'executable RedEnergy nociu emmascara la seva veritable identitat, fent-se passar per una actualització legítima del navegador. Mitjançant una imitació intel·ligent dels navegadors populars, com ara Google Chrome, Microsoft Edge, Firefox i Opera, RedEnergy pretén fer que els usuaris desprevinguts creguin que l'actualització és genuïna i fiable.
Una vegada que l'usuari es veu enganyat perquè descarregui i executi l'actualització enganyosa, RedEnergy procedeix a dipositar un total de quatre fitxers al sistema compromès. Aquests fitxers consisteixen en dos fitxers temporals i dos executables, amb un d'ells com a càrrega útil no segura. Simultàniament, el programari maliciós inicia un procés addicional en segon pla que representa la càrrega útil maliciosa, assegurant-ne l'execució. A mesura que s'allibera aquesta càrrega útil, mostra un missatge insultant a la desafortunada víctima, afegint una capa addicional d'intenció maliciosa a les seves operacions.
Per agreujar encara més l'amenaça, RedEnergy també està equipat amb un mecanisme de persistència. Aquest mecanisme permet que el programari maliciós romangui al sistema infectat fins i tot després que l'usuari reiniciï o apagui l'ordinador. Això garanteix el funcionament continu de RedEnergy i la seva capacitat per dur a terme activitats malicioses sense interrupcions, amplificant l'impacte i la longevitat dels seus atacs.
RedEnergy Stealer és capaç de dur a terme atacs de ransomware
RedEnergy incorpora mòduls de ransomware a la seva càrrega útil, que li permeten xifrar les dades valuoses de la víctima. L'amenaça afegeix ".FACKOFF!" extensió als noms de tots els fitxers xifrats. Aquest xifratge fa que els fitxers siguin inaccessibles i serveix com a mètode de coacció per extreure un rescat de la víctima. Per intimidar encara més i fer valer el control, RedEnergy presenta a la víctima un missatge de rescat titulat "read_it.txt", que descriu les demandes de pagament a canvi de la clau de desxifrat. Com a tàctica addicional, el ransomware altera el fons de pantalla de l'escriptori, i serveix com a recordatori visual del compromís i de la necessitat de complir amb les demandes dels atacants.
En la seva incansable recerca per interrompre la capacitat de la víctima per recuperar les seves dades, els mòduls de ransomware implementats per RedEnergy també participen en una altra acció destructiva. Apunten a la unitat ombra, una característica del sistema operatiu Windows que permet als usuaris crear còpies de seguretat dels seus fitxers. En suprimir les dades de la unitat ombra, RedEnergy elimina de manera efectiva qualsevol còpia de seguretat potencial que pugui ajudar la víctima a restaurar els seus fitxers xifrats, intensificant la urgència i la pressió per complir amb les demandes de rescat.
A més, l'executable no segur associat a RedEnergy manipula un fitxer de configuració important anomenat desktop.ini. Aquest fitxer emmagatzema la configuració crítica de les carpetes del sistema de fitxers, inclòs el seu aspecte i comportament. Mitjançant aquesta manipulació, RedEnergy aconsegueix la capacitat de modificar l'aparença de les carpetes del sistema de fitxers, utilitzant potencialment aquesta capacitat per ocultar la seva presència i activitats al sistema compromès. En manipular el fitxer desktop.ini, RedEnergy pot crear un entorn enganyós que emmascara les seves accions nefastes i dificulta encara més la capacitat de la víctima per detectar i mitigar l'impacte del ransomware.
La integració de mòduls de ransomware a la càrrega útil de RedEnergy, juntament amb el xifratge dels fitxers, la presentació d'un missatge de rescat i l'alteració del fons de pantalla de l'escriptori, mostra la intenció maliciosa i les tàctiques avançades que utilitza aquesta amenaça. La supressió de dades de la unitat a l'ombra agreuja la gravetat de l'atac eliminant possibles vies per a la recuperació de dades. Protegir els sistemes amb mesures de seguretat sòlides i mantenir les còpies de seguretat actualitzades a les unitats externes o al núvol és crucial per mitigar els riscos que representen RedEnergy i amenaces de programari maliciós similars.
