Ransomware Charon
Odborníci na kybernetickou bezpečnost odhalili novou ransomwarovou kampaň využívající dříve neznámý kmen s názvem Charon, zaměřenou konkrétně na veřejný sektor a letecký průmysl na Blízkém východě. Operace vykazuje vysokou úroveň sofistikovanosti a taktiky jsou obvykle spojovány s aktéry s pokročilými perzistentními hrozbami (APT).
Obsah
Vypůjčování taktik z herních plánů APT
Útočníci použili pokročilé techniky, jako je boční načítání DLL, vkládání procesů a úhybné manévry, jejichž cílem je obejít nástroje pro detekci a reakci na koncové body (EDR). Je pozoruhodné, že přístup boční načítání DLL odráží metody pozorované při útocích Earth Baxia, hackerské skupiny napojené na Čínu, která je známá cílením na vládní subjekty na Tchaj-wanu a v asijsko-pacifickém regionu.
V těchto minulých incidentech společnost Earth Baxia zneužila nyní opravenou chybu v OSGeo GeoServer GeoTools k nainstalování zadních vrátek s názvem EAGLEDOOR. V případě Charonu útok použil legitimní soubor Edge.exe (původně cookie_exporter.exe) k načtení škodlivého souboru msedge.dll známého jako SWORDLDR, který následně nasadil datový balíček ransomwaru Charon.
Schopnosti ransomwaru Charon
Po nasazení se Charon chová stejně jako jiné destruktivní varianty ransomwaru, ale s optimalizacemi, které ho činí rušivým i efektivním. Dokáže:
- Ukončete služby a aktivní procesy související se zabezpečením.
- Smazáním záloh a stínových kopií zabráníte obnovení.
- Pro rychlejší uzamčení souborů používejte multithreading a částečné šifrování.
Další zajímavou funkcí je začlenění ovladače zkompilovaného z open-source projektu Dark-Kill. To umožňuje útok typu „přineste si vlastní zranitelný ovladač“ (BYOVD) k deaktivaci nástrojů EDR. Výzkumníci však zjistili, že tato funkce zatím není aktivní, což naznačuje, že je stále ve vývoji.
Známky cílené operace
Vyšetřovatelé se domnívají, že tato kampaň byla spíše úmyslná než oportunistická. Tento závěr je založen na přítomnosti výkupného, které bylo upraveno tak, aby jmenovitě zmiňovalo oběť, což je u typických incidentů ransomwaru vzácnost. Metoda použitá pro počáteční přístup zůstává neznámá.
Nejistá atribuce
Ačkoliv Charonovy techniky sdílejí podobnosti s operacemi pozemské Baxie, odborníci varují, že toto překrývání by mohlo naznačovat:
- Přímé zapojení Země Baxia.
- Operace pod falešnou vlajkou, jejímž cílem je napodobit pozemskou Baxii.
- Nová skupina nezávisle vyvíjí podobné taktiky.
Bez jasných důkazů, jako je sdílená infrastruktura nebo konzistentní vzorce cílení, zůstává toto spojení spekulativní.
Rostoucí konvergence kyberkriminality a taktik národních států
Tento incident podtrhuje znepokojivý trend: skupiny zabývající se ransomwarem stále častěji používají metody na úrovni APT pro narušení a obcházení. Kombinace nenápadných obchodních praktik s okamžitými finančními a provozními škodami způsobenými ransomwarovým šifrováním výrazně zvyšuje sázky pro cílové organizace.
