RedEnergy Stealer

A RedEnergy egy rendkívül kifinomult információlopó, amely megtévesztő taktikájával és sokrétű képességeivel szerzett hírnevet. Ez a fenyegető szoftver okos álcát ölt, és hamis frissítésnek adja ki a különféle népszerű webböngészőket, és ezzel az iparági szektorok széles körét célozza meg. Ezt az álcát kihasználva a RedEnergy behatol a gyanútlan rendszerekbe és végrehajtja aljas műveleteit.

A RedEnergy egyik kulcsfontosságú funkciója az érzékeny információk kinyerésében való jártassága számos különböző webböngészőből. Ez lehetővé teszi a rosszindulatú programok számára, hogy értékes adatokat, például bejelentkezési adatokat, személyes adatokat és pénzügyi információkat szerezzenek le, ami az egyéneket és a szervezeteket az adatlopás és a személyes adatok megsértésének jelentős kockázatának teszi ki. Az a képesség, hogy több böngészőn keresztül gyűjtsön információkat, kibővíti a RedEnergy elérhetőségét és potenciális hatását, így komoly veszélyt jelent a felhasználók digitális életének biztonságára.

Ezen túlmenően a RedEnergy túlmutat információgyűjtési képességein azáltal, hogy további modulokat épít be, amelyek megkönnyítik a ransomware tevékenységeket. Ez azt jelenti, hogy az értékes adatok kiszűrése mellett a kártevő képes titkosítani a fertőzött rendszereken lévő fájlokat, és váltságdíjat követelni azok kiadásáért. A RedEnergy e kettős funkciója, amely egyesíti az információlopást és a zsarolóprogramok telepítésének lehetőségét, egy külön kategóriába sorolja, amely a „Stealer-as-a-Ransomware” néven ismert.

A RedEnergy Stealer legitim böngészőfrissítésnek álcázza magát

Az aktiváláskor a káros RedEnergy végrehajtható fájl elfedi valódi identitását, és legitim böngészőfrissítésnek tűnik. A népszerű böngészők, például a Google Chrome, a Microsoft Edge, a Firefox és az Opera ügyesen utánzásával a RedEnergy célja, hogy a gyanútlan felhasználókat elhiggye, hogy a frissítés valódi és megbízható.

Miután a felhasználót ráveszik a megtévesztő frissítés letöltésére és végrehajtására, a RedEnergy összesen négy fájlt helyez el a feltört rendszeren. Ezek a fájlok két ideiglenes fájlból és két végrehajtható fájlból állnak, amelyek közül az egyik nem biztonságos adathordozóként szolgál. Ezzel egyidejűleg a rosszindulatú program egy további háttérfolyamatot indít el, amely a rosszindulatú rakományt képviseli, és biztosítja annak végrehajtását. Amint ez a rakomány felszabadul, sértő üzenetet jelenít meg a szerencsétlen áldozat felé, és további rosszindulatú szándékot ad a műveleteihez.

A fenyegetés további súlyosbítása érdekében a RedEnergy perzisztencia mechanizmussal is fel van szerelve. Ez a mechanizmus lehetővé teszi, hogy a kártevő a számítógép újraindítása vagy leállítása után is a fertőzött rendszeren maradjon. Ez biztosítja a RedEnergy folyamatos működését és azt, hogy megszakítás nélkül képes rosszindulatú tevékenységeket végrehajtani, felerősítve a támadások hatását és hosszú élettartamát.

A RedEnergy Stealer képes ransomware támadások végrehajtására

A RedEnergy ransomware modulokat épít be a rakományába, lehetővé téve az áldozat értékes adatainak titkosítását. A fenyegetés hozzáfűzi a ".FACKOFF!" kiterjesztése az összes titkosított fájl nevére. Ez a titkosítás elérhetetlenné teszi a fájlokat, és kényszerítő módszerként szolgál váltságdíj kivonására az áldozattól. A további megfélemlítés és az irányítás megerősítése érdekében a RedEnergy egy váltságdíj-üzenetet küld az áldozatnak "read_it.txt" címmel, amely felvázolja a visszafejtési kulcsért cserébe fizetendő fizetési követeléseket. További taktikaként a ransomware megváltoztatja az asztal háttérképét, vizuálisan emlékeztetve a kompromisszumra és a támadók követeléseinek való megfelelés szükségességére.

A RedEnergy által bevezetett zsarolóprogram-modulok egy másik pusztító akcióba is belekezdenek annak érdekében, hogy megzavarják az áldozatok adatainak visszanyerési képességét. Céljuk az árnyékmeghajtó, a Windows operációs rendszer egy olyan funkciója, amely lehetővé teszi a felhasználók számára, hogy biztonsági másolatot készítsenek fájljaikról. Az adatok törlésével az árnyékmeghajtóról a RedEnergy hatékonyan kiküszöböl minden olyan lehetséges biztonsági másolatot, amely segíthet az áldozatnak a titkosított fájlok visszaállításában, fokozva a váltságdíj követeléseinek való megfelelés sürgősségét és nyomását.

Ezenkívül a RedEnergy-hez társított nem biztonságos végrehajtható fájl egy desktop.ini nevű fontos konfigurációs fájlt manipulál. Ez a fájl a fájlrendszer-mappák kritikus beállításait tárolja, beleértve azok megjelenését és viselkedését. Ezzel a manipulációval a RedEnergy képessé válik arra, hogy módosítsa a fájlrendszer mappáinak megjelenését, és ezt a képességét felhasználva elrejtse jelenlétét és tevékenységeit a feltört rendszeren. A desktop.ini fájl manipulálásával a RedEnergy megtévesztő környezetet hozhat létre, amely elfedi aljas cselekedeteit, és tovább akadályozza az áldozat azon képességét, hogy észlelje és mérsékelje a ransomware hatását.

A ransomware modulok integrálása a RedEnergy rakományába, a fájlok titkosításával, a váltságdíj-üzenet megjelenítésével és az asztali háttérkép megváltoztatásával párosulva bemutatja a fenyegetés rosszindulatú szándékát és fejlett taktikáját. Az adatok törlése az árnyékmeghajtóról súlyosbítja a támadást azáltal, hogy megszünteti az adat-helyreállítás lehetséges módjait. A rendszerek védelme robusztus biztonsági intézkedésekkel, valamint naprakész biztonsági mentések fenntartása a külső meghajtókon vagy a felhőben kulcsfontosságú a RedEnergy és a hasonló rosszindulatú programok által jelentett kockázatok mérséklése szempontjából.