RedEnergy Stealer

RedEnergy ist ein hochentwickelter Informationsdiebstahler, der für seine betrügerischen Taktiken und vielfältigen Fähigkeiten bekannt geworden ist. Diese bedrohliche Software tarnt sich geschickt, indem sie sich als gefälschtes Update für verschiedene gängige Webbrowser ausgibt und so ein breites Spektrum an Branchen ins Visier nimmt. Unter Ausnutzung dieser Tarnung gelingt es RedEnergy, ahnungslose Systeme zu infiltrieren und seine schändlichen Operationen auszuführen.

Eine der Schlüsselfunktionen von RedEnergy ist seine Fähigkeit, vertrauliche Informationen aus zahlreichen verschiedenen Webbrowsern zu extrahieren. Dadurch kann die Malware wertvolle Daten wie Anmeldedaten, persönliche Daten und Finanzinformationen abrufen, wodurch Einzelpersonen und Organisationen einem erheblichen Risiko von Datendiebstahl und Datenschutzverletzungen ausgesetzt werden. Die Möglichkeit, Informationen über mehrere Browser hinweg zu sammeln, erweitert die Reichweite und potenzielle Wirkung von RedEnergy und macht es zu einer potenziellen Bedrohung für die Sicherheit des digitalen Lebens der Benutzer.

Darüber hinaus geht RedEnergy über seine Fähigkeiten zur Informationserfassung hinaus, indem es zusätzliche Module integriert, die Ransomware-Aktivitäten erleichtern. Das bedeutet, dass die Malware neben der Exfiltrierung wertvoller Daten auch das Potenzial hat, Dateien auf den infizierten Systemen zu verschlüsseln und für deren Freigabe ein Lösegeld zu verlangen. Diese doppelte Funktionalität von RedEnergy, die Informationsdiebstahl mit der Fähigkeit zum Einsatz von Ransomware kombiniert, ordnet es in eine eigene Kategorie ein, die als „Stealer-as-a-Ransomware“ bekannt ist.

Der RedEnergy Stealer tarnt sich als legitimes Browser-Update

Bei der Aktivierung verschleiert die schädliche ausführbare RedEnergy-Datei ihre wahre Identität und gibt sich als legitimes Browser-Update aus. Durch die geschickte Nachahmung beliebter Browser wie Google Chrome, Microsoft Edge, Firefox und Opera möchte RedEnergy ahnungslose Benutzer glauben machen, dass das Update echt und vertrauenswürdig ist.

Sobald der Benutzer dazu verleitet wird, das betrügerische Update herunterzuladen und auszuführen, hinterlegt RedEnergy insgesamt vier Dateien auf dem kompromittierten System. Diese Dateien bestehen aus zwei temporären Dateien und zwei ausführbaren Dateien, von denen eine als unsichere Nutzlast dient. Gleichzeitig initiiert die Malware einen zusätzlichen Hintergrundprozess, der die bösartige Nutzlast darstellt und deren Ausführung sicherstellt. Wenn diese Nutzlast freigesetzt wird, zeigt sie dem unglücklichen Opfer eine beleidigende Nachricht an, was ihren Operationen eine zusätzliche Ebene böswilliger Absichten hinzufügt.

Um die Bedrohung noch weiter zu verschärfen, ist RedEnergy außerdem mit einem Persistenzmechanismus ausgestattet. Dieser Mechanismus ermöglicht, dass die Malware auch dann auf dem infizierten System verbleibt, wenn der Benutzer den Computer neu startet oder herunterfährt. Dies gewährleistet den kontinuierlichen Betrieb von RedEnergy und seine Fähigkeit, böswillige Aktivitäten ohne Unterbrechung auszuführen, was die Wirkung und Langlebigkeit seiner Angriffe verstärkt.

RedEnergy Stealer ist in der Lage, Ransomware-Angriffe durchzuführen

RedEnergy integriert Ransomware-Module in seine Nutzlast und ermöglicht so die Verschlüsselung der wertvollen Daten des Opfers. Die Drohung fügt das „.FACKOFF!“ hinzu. Erweiterung auf die Namen aller verschlüsselten Dateien. Diese Verschlüsselung macht die Dateien unzugänglich und dient als Zwangsmittel, um vom Opfer ein Lösegeld zu erpressen. Um die Einschüchterung weiter zu verstärken und die Kontrolle zu erlangen, präsentiert RedEnergy dem Opfer eine Lösegeldnachricht mit dem Titel „read_it.txt“, in der die Zahlungsforderungen im Austausch für den Entschlüsselungsschlüssel aufgeführt sind. Als zusätzliche Taktik verändert die Ransomware das Desktop-Hintergrundbild und dient so als visuelle Erinnerung an die Kompromittierung und die Notwendigkeit, den Anforderungen der Angreifer nachzukommen.

In ihrem unermüdlichen Bestreben, die Fähigkeit des Opfers, seine Daten wiederherzustellen, zu stören, führen die von RedEnergy implementierten Ransomware-Module noch eine weitere zerstörerische Aktion durch. Sie zielen auf das Schattenlaufwerk ab, eine Funktion des Windows-Betriebssystems, mit der Benutzer Backups ihrer Dateien erstellen können. Durch das Löschen von Daten vom Schattenlaufwerk eliminiert RedEnergy effektiv alle potenziellen Backups, die dem Opfer bei der Wiederherstellung seiner verschlüsselten Dateien helfen könnten, was die Dringlichkeit und den Druck, den Lösegeldforderungen nachzukommen, erhöht.

Darüber hinaus manipuliert die unsichere ausführbare Datei von RedEnergy eine wichtige Konfigurationsdatei namens „desktop.ini“. In dieser Datei werden wichtige Einstellungen für Dateisystemordner gespeichert, einschließlich deren Aussehen und Verhalten. Durch diese Manipulation erhält RedEnergy die Möglichkeit, das Erscheinungsbild von Dateisystemordnern zu ändern und diese Fähigkeit möglicherweise zu nutzen, um seine Präsenz und Aktivitäten auf dem kompromittierten System zu verbergen. Durch Manipulationen an der Datei „desktop.ini“ kann RedEnergy eine betrügerische Umgebung schaffen, die seine schändlichen Aktionen verschleiert und die Fähigkeit des Opfers, die Auswirkungen der Ransomware zu erkennen und abzuschwächen, weiter einschränkt.

Die Integration von Ransomware-Modulen in die Nutzlast von RedEnergy, gepaart mit der Verschlüsselung von Dateien, der Darstellung einer Lösegeldnachricht und der Änderung des Desktop-Hintergrunds, verdeutlicht die böswillige Absicht und die fortschrittlichen Taktiken dieser Bedrohung. Das Löschen von Daten vom Schattenlaufwerk verschärft die Schwere des Angriffs, da potenzielle Möglichkeiten zur Datenwiederherstellung entfallen. Der Schutz von Systemen mit robusten Sicherheitsmaßnahmen und die Aufrechterhaltung aktueller Backups auf externen Laufwerken oder in der Cloud ist von entscheidender Bedeutung, um die Risiken durch RedEnergy und ähnliche Malware-Bedrohungen zu mindern.