Cyberthreat.id - Ancaman pencuri-sebagai-ransomware canggih yang dijuluki RedEnergy telah terlihat di alam liar yang menargetkan utilitas energi, minyak, gas, telekomunikasi, dan sektor mesin di Brasil dan Filipina melalui halaman LinkedIn mereka.

Malware .NET "memiliki kemampuan untuk mencuri informasi dari berbagai browser, memungkinkan eksfiltrasi data sensitif, sementara juga menggabungkan berbagai modul untuk melakukan aktivitas ransomware," kata peneliti Zscaler Shatak Jain dan Gurkirat Singh dalam analisis baru-baru ini sebagaimana dikutip The Hacker News.

Tujuannya, catat para peneliti, adalah untuk memasangkan pencurian data dengan enkripsi dengan tujuan menimbulkan kerusakan maksimum pada para korban.

Titik awal serangan multi-tahap adalah kampanye FakeUpdates (alias SocGholish) yang mengelabui pengguna agar mengunduh malware berbasis JavaScript dengan kedok pembaruan browser web.

Apa yang membuatnya baru adalah penggunaan halaman LinkedIn terkemuka untuk menargetkan korban, mengarahkan pengguna mengklik URL situs web ke halaman arahan palsu yang meminta mereka untuk memperbarui browser web mereka dengan mengklik ikon yang sesuai (Google Chrome, Microsoft Edge, Mozilla Firefox , atau Opera), melakukan hal itu akan mengakibatkan unduhan berbahaya yang dapat dijalankan.

Setelah pelanggaran berhasil, biner jahat digunakan sebagai saluran untuk mengatur kegigihan, melakukan pembaruan browser yang sebenarnya, dan juga menjatuhkan pencuri yang mampu secara diam-diam memanen informasi sensitif dan mengenkripsi file yang dicuri, membuat korban berisiko kehilangan data potensial , paparan, atau bahkan penjualan data berharga mereka.

Zscaler mengatakan menemukan interaksi mencurigakan yang terjadi melalui koneksi File Transfer Protocol (FTP), meningkatkan kemungkinan bahwa data berharga sedang diekstraksi ke infrastruktur yang dikendalikan aktor.

Pada tahap akhir, komponen ransomware RedEnergy mulai mengenkripsi data pengguna, dengan akhiran ".FACKOFF!" ekstensi ke setiap file terenkripsi, menghapus cadangan yang ada, dan menjatuhkan catatan tebusan di setiap folder.

Korban diharapkan melakukan pembayaran sebesar 0,005 BTC (sekitar $151) ke dompet cryptocurrency yang disebutkan dalam catatan untuk mendapatkan kembali akses ke file. Fungsi ganda RedEnergy sebagai pencuri dan ransomware mewakili evolusi lanskap kejahatan dunia maya.

Perkembangan ini juga mengikuti munculnya kategori ancaman RAT-as-a-ransomware baru di mana trojan akses jarak jauh seperti Venom RAT dan Anarchy Panel RAT telah dilengkapi dengan modul ransomware untuk mengunci berbagai ekstensi file di balik penghalang enkripsi.

"Sangat penting bagi individu dan organisasi untuk berhati-hati saat mengakses situs web, terutama yang terhubung dari profil LinkedIn," kata para peneliti. "Kewaspadaan dalam memverifikasi keaslian pembaruan browser dan mewaspadai unduhan file yang tidak terduga sangat penting untuk melindungi dari kampanye jahat semacam itu."[]