RedEnergy – Fidye Yazılımı Olarak Yeni Hibrit Hırsız

   Haziran 24, 2023  Posted in CyberSecurityNews


Sahte Güncellemeler Yoluyla Sunulan Yeni Fidye Yazılımı Olarak Hırsız

Son zamanlarda, Zscaler’daki siber güvenlik analistleri yeni bir kötü amaçlı yazılım türü olan RedEnergy, yeni bir Hibrit Fidye Yazılımı Olarak Hırsızlık tehdidi buldu.

RedEnergy hırsızı, sahte güncellemeler yoluyla, tarayıcılardan veri çalarak, hassas bilgileri sızdırarak ve fidye yazılımı modüllerini kullanarak sektörleri hedefler.

CSN

RedEnergy hırsızının en son tespiti, kapsamlı zarara neden olmak ve hedefleri üzerinde tam kontrol sağlamak için tasarlanmış, gizli veri hırsızlığı ve şifrelemenin güçlü bir karışımını ortaya koyuyor.

Birden çok sektörü hedefliyor ve aşağıda bunlardan bahsetmiştik:-

  • Enerji hizmetleri
  • Yağ
  • Gaz
  • Telekom
  • makine

Stealer-as-a-Ransomware varyantı, aldatıcı bir FAKEUPDATES kampanyası kullanarak, hedefleri tarayıcılarını hemen güncellemeye teşvik eder.

Bu kötü niyetli varyant, sisteme sızdıktan sonra verileri ayıklar ve dosyaları şifreleyerek kurbanları veri kaybı, ifşa veya değerli bilgilerin satışı riskiyle karşı karşıya bırakır.

Fidye Yazılımı Olarak Hırsız Kampanya Analizi

Zscaler, Filipinler Endüstriyel Makine İmalat Şirketini ve önde gelen LinkedIn sayfalarına sahip diğer sektörleri hedefleyen bir RedEnergy hırsızı buldu.

Bu sayfalardaki temel şirket bilgileri ve web sitesi bağlantıları, siber suçluları cezbeder ve bu tehdit kampanyasında kullanılan aldatıcı yeniden yönlendirme tekniği.

Hedeflenen şirketin web sitesini LinkedIn’den ziyaret eden kullanıcılar, kötü amaçlı bir siteye yönlendirilir.

Dört farklı tarayıcı simgesi kılığında sahte bir tarayıcı güncellemesi yüklemeleri için kandırıldılar ve bunun yerine farkında olmadan RedStealer çalıştırılabilir dosyasını indirdiler.

tarayıcı Uzantıları sergilendi

Tıklanan tarayıcı simgesinden bağımsız olarak, kullanıcılar aşağıdaki adrese yönlendirilir: –

  • www[.]Kiliseler2[.]org/assets/programs/setupbrowser.exe

Bu URL esas olarak kötü amaçlı yükün “setupbrowser.exe” olan bir bileşeninin indirilmesini tetikler.

Kötü amaçlı URL

Tehdit kampanyası, aldatıcı bir indirme alanı kullanır, www[.]Kiliseler2[.]org, bir “ChatGPT” sitesi gibi davranarak.

Bu site kurbanları kandırır ve “ChatGPT”nin sahte çevrimdışı sürümünü indirmelerini sağlar.

Şimdi burada, bu noktada, kurbanlar ChatGpt zip dosyası olarak gizlenmiş aynı kötü amaçlı yürütülebilir dosyayı elde ederler.

Sahte SohbetGPT

Zscaler’in kapsamlı araması, Filipinler Endüstriyel Makine İmalat Şirketi’ne yönelik tehdit kampanyasını bulmanın yanı sıra başka FAKEUPDATES kampanyalarını da ortaya çıkardı.

Bu kampanyalar, eşgüdümlü bir siber suçlu çabasına işaret eden özellikleri ve teknikleri paylaşıyor.

Büyük bir Brezilya telekom şirketini taklit eden bir kampanya, bir öncekiyle aynı şeyi yapar. Kurbanlar aynı web sayfasına yönlendirilir ve ardından yürütülebilir dosyayı şu adresten indirir: –

  • www[.]Kiliseler2[.]org/assets/programs/setupbrowser.exe

Bu gözlem, saldırganların genellikle daha büyük etkiler oluşturmak ve karları artırmak amacıyla altyapıyı ve taktikleri yeniden kullanma pratiğini kullandığını gösteriyor.

Kötü amaçlı yazılım enfeksiyon zinciri

Araştırılan RedEnergy kötü amaçlı yazılımının iki işlevi vardır: –

Tespitten kaçınmak ve analizi daha zor hale getirmek için, bu kötü amaçlı yazılımın yazarı, gelişmiş .NET dosyasını kasıtlı olarak gizler.

HTTPS kullanan kötü amaçlı yazılım, komuta ve kontrol sunucularıyla şifrelenmiş ve karartılmış iletişim kurarak gelişmiş şifreleme ve şaşırtma teknikleri sağlar.

Saldırı Zinciri

Enfeksiyon zincirinin tamamı üç farklı aşamadan oluşur ve burada bunlar aşağıda belirtilmiştir:-

  • 1. Aşama: Ilk başlangıç
  • 2. aşama: Düşen Dosyalar, Kalıcılık, Giden İstekler, Şifreli Dosyalar
  • Sahne 3: Şifre Çözme Rutin

Bulaşma zincirinin son yükü, “read_it.txt” olarak adlandırılan fidye notunu düşürür. Bu not, tehdit aktörleri tarafından tüm şifrelenmiş klasörlerde bırakılırken, kullanıcılara dosyanın serbest bırakılması için gereken fidye konusunda bilgi veriyor.

fidye notu

Zscaler analizine dayanarak, sektörlerin ve kuruluşların sürekli gelişen ve son derece karmaşık siber tehditlerle karşı karşıya olduğu açıktır.

Trustifi yapay zeka tabanlı e-posta güvenliği İş e-postalarını gelişmiş e-posta tehditlerinden koruyan Çözüm: İzleme, Engelleme, Temiz Posta Kutusunu Değiştirme, Kimlik Avı, Hesabı Devralma, İş E-postası Ele Geçirme, Kötü Amaçlı Yazılım ve Fidye Yazılım.

Etkiyi azaltmak için güçlü güvenlik önlemlerine sahip olmak, kullanıcı farkındalığını sağlamak ve olaylara anında müdahale etmek çok önemlidir.

İşletmeler, sürekli tetikte olma ve siber güvenlik stratejileri uygulama yoluyla, değerli verileri bu tür kötü niyetli kampanyalardan koruyabilir.

Uç Noktalarınızı Verimli Bir Şekilde Yönetin ve Güvenliğini SağlayınÜcretsiz indirin



Source link