RedEnergy Stealer

RedEnergy to wysoce wyrafinowany program do kradzieży informacji, który zyskał rozgłos dzięki swojej oszukańczej taktyce i wieloaspektowym możliwościom. To groźne oprogramowanie przyjmuje sprytne przebranie, podszywając się pod fałszywą aktualizację różnych popularnych przeglądarek internetowych, atakując w ten sposób wiele sektorów przemysłu. Wykorzystując to przebranie, RedEnergy udaje się infiltrować niczego niepodejrzewające systemy i wykonywać swoje nikczemne operacje.

Jedną z kluczowych funkcji RedEnergy jest umiejętność wydobywania poufnych informacji z wielu różnych przeglądarek internetowych. Umożliwia to złośliwemu oprogramowaniu pobieranie cennych danych, takich jak dane logowania, dane osobowe i informacje finansowe, narażając osoby i organizacje na znaczne ryzyko kradzieży danych i naruszenia prywatności. Możliwość gromadzenia informacji w wielu przeglądarkach zwiększa zasięg i potencjalny wpływ RedEnergy, czyniąc z niej potencjalne zagrożenie dla bezpieczeństwa cyfrowego życia użytkowników.

Co więcej, RedEnergy wykracza poza swoje możliwości gromadzenia informacji, wprowadzając dodatkowe moduły ułatwiające działania ransomware. Oznacza to, że oprócz eksfiltracji cennych danych, złośliwe oprogramowanie może potencjalnie szyfrować pliki w zainfekowanych systemach i żądać okupu za ich uwolnienie. Ta podwójna funkcjonalność RedEnergy, łącząca kradzież informacji z możliwością wdrażania ransomware, umieszcza ją w odrębnej kategorii znanej jako „Stealer-as-a-Ransomware”.

RedEnergy Stealer udaje legalną aktualizację przeglądarki

Po aktywacji szkodliwy plik wykonywalny RedEnergy maskuje swoją prawdziwą tożsamość, udając legalną aktualizację przeglądarki. Sprytnie naśladując popularne przeglądarki, takie jak Google Chrome, Microsoft Edge, Firefox i Opera, RedEnergy ma na celu przekonanie niczego niepodejrzewających użytkowników, że aktualizacja jest autentyczna i godna zaufania.

Gdy użytkownik zostanie nakłoniony do pobrania i wykonania oszukańczej aktualizacji, RedEnergy przystępuje do umieszczenia w zaatakowanym systemie łącznie czterech plików. Pliki te składają się z dwóch plików tymczasowych i dwóch plików wykonywalnych, z których jeden służy jako niebezpieczny ładunek. Jednocześnie złośliwe oprogramowanie inicjuje dodatkowy proces w tle, który reprezentuje szkodliwy ładunek, zapewniając jego wykonanie. Gdy ten ładunek jest uwalniany, wyświetla obraźliwą wiadomość niefortunnej ofierze, dodając dodatkową warstwę złośliwych zamiarów do swoich działań.

Aby jeszcze bardziej zaostrzyć zagrożenie, RedEnergy jest również wyposażony w mechanizm trwałości. Ten mechanizm umożliwia złośliwemu oprogramowaniu pozostanie w zainfekowanym systemie nawet po ponownym uruchomieniu lub wyłączeniu komputera przez użytkownika. Zapewnia to nieprzerwane działanie RedEnergy i jego zdolność do wykonywania złośliwych działań bez przerw, wzmacniając wpływ i trwałość jego ataków.

RedEnergy Stealer jest zdolny do przeprowadzania ataków ransomware

RedEnergy zawiera w swoim ładunku moduły ransomware, umożliwiające szyfrowanie cennych danych ofiary. Groźba dołącza „.FACKOFF!” rozszerzenie nazw wszystkich zaszyfrowanych plików. To szyfrowanie sprawia, że pliki stają się niedostępne i służy jako metoda wymuszenia wydobycia okupu od ofiary. Aby jeszcze bardziej zastraszyć i zapewnić kontrolę, RedEnergy przedstawia ofierze wiadomość z żądaniem okupu zatytułowaną „read_it.txt”, która przedstawia żądania zapłaty w zamian za klucz odszyfrowywania. Jako dodatkową taktykę, ransomware zmienia tapetę pulpitu, służąc jako wizualne przypomnienie o kompromisie i konieczności spełnienia żądań atakujących.

W swoim nieustannym dążeniu do zakłócenia zdolności ofiary do odzyskania swoich danych, moduły ransomware zaimplementowane przez RedEnergy angażują się również w inne destrukcyjne działanie. Ich celem jest dysk w tle, funkcja systemu operacyjnego Windows, która umożliwia użytkownikom tworzenie kopii zapasowych ich plików. Usuwając dane z dysku-cienia, RedEnergy skutecznie eliminuje wszelkie potencjalne kopie zapasowe, które mogłyby pomóc ofierze w przywróceniu zaszyfrowanych plików, zwiększając pilność i presję, aby spełnić żądania okupu.

Co więcej, niebezpieczny plik wykonywalny związany z RedEnergy manipuluje ważnym plikiem konfiguracyjnym o nazwie desktop.ini. Ten plik przechowuje krytyczne ustawienia folderów systemu plików, w tym ich wygląd i zachowanie. Dzięki tej manipulacji RedEnergy zyskuje możliwość modyfikowania wyglądu folderów systemu plików, potencjalnie wykorzystując tę zdolność do ukrywania swojej obecności i działań w zaatakowanym systemie. Manipulując plikiem desktop.ini, RedEnergy może stworzyć zwodnicze środowisko, które maskuje jego nikczemne działania i dodatkowo utrudnia ofierze wykrywanie i łagodzenie skutków ransomware.

Integracja modułów ransomware z ładunkiem RedEnergy, w połączeniu z szyfrowaniem plików, prezentacją wiadomości z żądaniem okupu i zmianą tapety pulpitu, ukazuje złośliwe zamiary i zaawansowaną taktykę stosowaną przez to zagrożenie. Usunięcie danych z dysku-cienia zwiększa dotkliwość ataku, eliminując potencjalne możliwości odzyskania danych. Ochrona systemów za pomocą solidnych środków bezpieczeństwa i utrzymywanie aktualnych kopii zapasowych na dyskach zewnętrznych lub w chmurze ma kluczowe znaczenie dla ograniczenia ryzyka stwarzanego przez RedEnergy i podobne zagrożenia złośliwym oprogramowaniem.