Uma ameaça sofisticada de ransomware, chamada RedEnergy, foi identificada atacando empresas de energia, petróleo, gás, telecomunicações e maquinários no Brasil e nas Filipinas através de suas páginas do LinkedIn.
O malware .NET "possui a capacidade de roubar informações de diferentes navegadores, permitindo a exfiltração de dados sensíveis, além de incorporar diferentes módulos para realizar atividades de ransomware", disseram os pesquisadores da Zscaler, Shatak Jain e Gurkirat Singh, em uma análise recente.
O objetivo, observaram os pesquisadores, é combinar o roubo de dados com a criptografia, com o objetivo de causar o máximo de danos às vítimas.
O ponto de partida para o ataque em várias etapas é uma campanha chamada FakeUpdates (também conhecida como SocGholish), que engana os usuários para que façam o download de malware baseado em JavaScript, disfarçado de atualizações do navegador da web.
O que torna isso inovador é o uso de páginas do LinkedIn confiáveis para atingir as vítimas, redirecionando os usuários que clicam nos URLs do site para uma página falsa que os instrui a atualizar seus navegadores da web clicando no ícone apropriado (Google Chrome, Microsoft Edge, Mozilla Firefox ou Opera), ao fazer isso, resulta no download de um executável malicioso.
Após uma invasão bem-sucedida, o binário malicioso é usado como um canal para estabelecer persistência, realizar a atualização real do navegador e também implantar um ladrão capaz de coletar informações sensíveis de forma oculta e criptografar os arquivos roubados, deixando as vítimas em risco de perda de dados potencial, exposição ou até mesmo venda de seus dados valiosos.
A Zscaler afirmou ter descoberto interações suspeitas ocorrendo através de uma conexão de Protocolo de Transferência de Arquivos (FTP), levantando a possibilidade de que dados valiosos estejam sendo exfiltrados para infraestrutura controlada pelos criminosos.
Na etapa final, o componente de ransomware do RedEnergy procede à criptografia dos dados do usuário, adicionando a extensão ".FACKOFF!" a cada arquivo criptografado, excluindo os backups existentes e deixando uma nota de resgate em cada pasta.
As vítimas são esperadas para fazer um pagamento de 0,005 BTC (cerca de $151) para uma carteira de criptomoedas mencionada na nota, para recuperar o acesso aos arquivos.
As funções duplas do RedEnergy como ladrão e ransomware representam uma evolução do cenário de crimes cibernéticos.
O desenvolvimento também segue a emergência de uma nova categoria de ameaça de ransomware conhecida como RAT-as-a-ransomware, na qual cavalos de Troia de acesso remoto, como o Venom RAT e o Anarchy Panel RAT, foram equipados com módulos de ransomware para bloquear várias extensões de arquivo com barreiras de criptografia.
"É crucial que indivíduos e organizações exerçam extrema cautela ao acessar sites, especialmente aqueles vinculados a perfis do LinkedIn", disseram os pesquisadores.
"A vigilância na verificação da autenticidade das atualizações do navegador e a desconfiança de downloads de arquivos inesperados são fundamentais para se proteger contra essas campanhas maliciosas."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...