Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Ransomware Charon Ransomware

Charon Ransomware

El Mezo el Ransomware, Amenaça persistent avançada (APT)
Traduir a:

Experts en ciberseguretat han descobert una nova campanya de ransomware que aprofita una soca desconeguda anomenada Charon, dirigida específicament al sector públic i a la indústria de l'aviació a l'Orient Mitjà. L'operació mostra un alt nivell de sofisticació, amb tàctiques típicament associades a actors d'amenaces persistents avançades (APT).

Tàctiques manllevades dels llibres de joc de l’APT

Els atacants van emprar tècniques avançades com la càrrega lateral de DLL, la injecció de processos i maniobres evasives dissenyades per eludir les eines de detecció i resposta de punts finals (EDR). Cal destacar que l'enfocament de càrrega lateral de DLL reflecteix els mètodes observats en atacs d'Earth Baxia, un grup de pirates informàtics vinculat a la Xina conegut per atacar entitats governamentals de Taiwan i la regió Àsia-Pacífic.

En aquests incidents anteriors, Earth Baxia havia explotat una falla ara corregida a OSGeo GeoServer GeoTools per proporcionar una porta del darrere anomenada EAGLEDOOR. En el cas de Charon, l'atac va utilitzar un fitxer legítim, Edge.exe (originalment cookie_exporter.exe), per carregar un msedge.dll maliciós conegut com a SWORDLDR, que després va desplegar la càrrega útil del ransomware Charon.

Capacitats del ransomware Charon

Un cop desplegat, Charon es comporta com altres variants destructives de ransomware, però amb optimitzacions que el fan disruptiu i eficient. Pot:

  • Finalitzar els serveis relacionats amb la seguretat i els processos actius.
  • Suprimiu les còpies de seguretat i les còpies ombra per dificultar la recuperació.
  • Utilitzeu multithreading i xifratge parcial per a un bloqueig de fitxers més ràpid.

Una altra característica interessant és la incorporació d'un controlador compilat del projecte de codi obert Dark-Kill. Això permet un atac BYOVD (bring your own vulnerable driver) per desactivar les eines EDR. Tanmateix, els investigadors van descobrir que aquesta capacitat encara no està activa, cosa que suggereix que encara està en desenvolupament.

Signes d’una operació dirigida

Els investigadors creuen que aquesta campanya va ser deliberada en lloc d'oportunista. Aquesta conclusió es basa en la presència d'una nota de rescat personalitzada per esmentar el nom de l'organització víctima, una raresa en els incidents típics de ransomware. El mètode utilitzat per a l'accés inicial continua sent desconegut.

Atribució incerta

Tot i que les tècniques de Caront comparteixen similituds amb les operacions de la Terra Baxia, els experts adverteixen que aquesta superposició podria indicar:

  • Implicació directa de la Terra Baxia.
  • Una operació de falsa bandera dissenyada per imitar la Terra Baxia.
  • Un nou grup que desenvolupa de manera independent tàctiques similars.

Sense proves clares com ara una infraestructura compartida o patrons de segmentació consistents, la connexió continua sent especulativa.

La creixent convergència de la ciberdelinqüència i les tàctiques de l’estat-nació

Aquest incident subratlla una tendència preocupant: els grups de ransomware adopten cada cop més mètodes de nivell APT per a la intrusió i l'evasió. La combinació d'habilitats comercials furtives amb el dany financer i operatiu immediat del xifratge de ransomware augmenta significativament els riscos per a les organitzacions objectiu.

Tendència

Més vist

Carregant...