RedEnergy Stealer

RedEnergy は、その欺瞞的な戦術と多面的な機能で悪名が高い、非常に洗練された情報窃取者です。この脅威的なソフトウェアは、さまざまな人気のある Web ブラウザの偽のアップデートを装って巧妙に偽装し、幅広い業界セクターをターゲットにしています。この装いを悪用することで、RedEnergy は無防備なシステムに侵入し、その凶悪な作戦を実行します。

RedEnergy の重要な機能の 1 つは、多数の異なる Web ブラウザから機密情報を抽出する能力です。これにより、マルウェアはログイン認証情報、個人情報、財務情報などの貴重なデータを取得できるようになり、個人や組織がデータ盗難やプライバシー侵害の重大なリスクにさらされることになります。複数のブラウザーにわたって情報を収集できる機能により、RedEnergy の範囲と潜在的な影響が拡大し、ユーザーのデジタル ライフのセキュリティに対する強力な脅威となっています。

さらに、RedEnergy は、ランサムウェア活動を促進する追加モジュールを組み込むことで、情報収集機能を超えています。これは、マルウェアが貴重なデータを窃取するだけでなく、感染したシステム上のファイルを暗号化し、その解放のために身代金を要求する可能性があることを意味します。 RedEnergy のこの 2 つの機能は、情報の盗難とランサムウェアの展開機能を組み合わせたもので、「ランサムウェアとしての窃盗」として知られる別のカテゴリに分類されます。

RedEnergy スティーラーは正規のブラウザ アップデートを装う

アクティブ化すると、有害な RedEnergy 実行可能ファイルはその正体を隠し、正規のブラウザ更新を装います。 RedEnergy は、Google Chrome、Microsoft Edge、Firefox、Opera などの人気のあるブラウザを巧みに模倣することで、疑いを持たないユーザーにアップデートが本物で信頼できるものであると信じ込ませることを目指しています。

ユーザーがだまされて不正なアップデートをダウンロードして実行すると、RedEnergy は侵害されたシステムに合計 4 つのファイルを配置します。これらのファイルは 2 つの一時ファイルと 2 つの実行可能ファイルで構成されており、そのうちの 1 つは安全でないペイロードとして機能します。同時に、マルウェアは悪意のあるペイロードを表す追加のバックグラウンド プロセスを開始し、その実行を確実にします。このペイロードが解き放たれると、不幸な被害者に対して侮辱的なメッセージが表示され、その動作に悪意の層がさらに追加されます。

脅威をさらに悪化させるために、RedEnergy には永続化メカニズムも装備されています。このメカニズムにより、ユーザーがコンピュータを再起動またはシャットダウンした後でも、マルウェアが感染したシステム上に残ることが可能になります。これにより、RedEnergy の継続的な運用と悪意のある活動を中断することなく実行できることが保証され、攻撃の影響と存続期間が増幅されます。

RedEnergy Stealer はランサムウェア攻撃を実行可能

RedEnergy はランサムウェア モジュールをペイロードに組み込み、被害者の貴重なデータを暗号化できるようにします。この脅威は「.FACKOFF!」を追加します。すべての暗号化されたファイルの名前に拡張子を付けます。この暗号化によりファイルにアクセスできなくなり、被害者から身代金を引き出す強制手段として機能します。さらに脅迫して制御を主張するために、RedEnergy は被害者に「read_it.txt」というタイトルの身代金メッセージを提示します。このメッセージには、復号キーと引き換えに支払いを要求する内容が記載されています。追加の戦術として、ランサムウェアはデスクトップの壁紙を変更し、侵害と攻撃者の要求に従う必要性を視覚的に思い出させます。

RedEnergy によって実装されたランサムウェア モジュールは、被害者のデータ回復能力を妨害する執拗な探求の中で、別の破壊的な行動にも関与します。これらは、ユーザーがファイルのバックアップを作成できるようにする Windows OS 内の機能であるシャドウ ドライブをターゲットにしています。 RedEnergy は、シャドウ ドライブからデータを削除することで、被害者が暗号化されたファイルを復元する際に役立つ可能性のあるバックアップを効果的に排除し、身代金要求に応じるという緊急性とプレッシャーを強化します。

さらに、RedEnergy に関連付けられた安全でない実行可能ファイルは、desktop.ini と呼ばれる重要な構成ファイルを操作します。このファイルには、ファイル システム フォルダーの外観や動作などの重要な設定が保存されます。この操作により、RedEnergy はファイル システム フォルダーの外観を変更する機能を獲得し、この機能を利用して侵害されたシステム上での存在とアクティビティを隠蔽する可能性があります。 RedEnergy は、desktop.ini ファイルを改ざんすることで、その悪意のある行為を覆い隠し、被害者がランサムウェアの影響を検出して軽減する能力をさらに妨げる欺瞞的な環境を作成する可能性があります。

RedEnergy のペイロードへのランサムウェア モジュールの統合と、ファイルの暗号化、身代金メッセージの提示、デスクトップの壁紙の改ざんは、この脅威が使用する悪意と高度な戦術を示しています。シャドウ ドライブからデータを削除すると、データを回復するための潜在的な手段が失われるため、攻撃の重大度はさらに悪化します。 RedEnergy や同様のマルウェアの脅威によってもたらされるリスクを軽減するには、堅牢なセキュリティ対策でシステムを保護し、外部ドライブまたはクラウド上で最新のバックアップを維持することが重要です。