Rabattilbud med flere licenser
Trusseldatabase Ransomware Charon Ransomware

Charon Ransomware

Med Mezo i Ransomware, Advanced Persistent Threat (APT)
Oversæt til:

Cybersikkerhedseksperter har afsløret en ny ransomware-kampagne, der udnytter en hidtil ukendt stamme ved navn Charon, som er specifikt rettet mod den offentlige sektor og luftfartsindustrien i Mellemøsten. Operationen udviser en høj grad af sofistikering med taktikker, der typisk forbindes med avancerede, vedvarende trusler (APT)-aktører.

Lån taktikker fra APT Playbooks

Angriberne anvendte avancerede teknikker såsom DLL-sideloading, procesinjektion og undvigelsesmanøvrer designet til at omgå værktøjer til endpoint detection and response (EDR). Det er værd at bemærke, at DLL-sideloading-tilgangen afspejler metoder observeret i angreb fra Earth Baxia, en hackergruppe med tilknytning til Kina, der er kendt for at målrette offentlige enheder i Taiwan og Asien-Stillehavsområdet.

I disse tidligere hændelser havde Earth Baxia udnyttet en nu rettet fejl i OSGeo GeoServer GeoTools til at levere en bagdør kaldet EAGLEDOOR. I Charon-sagen brugte angrebet en legitim fil, Edge.exe (oprindeligt cookie_exporter.exe), til at indlæse en ondsindet msedge.dll kendt som SWORDLDR, som derefter installerede Charon ransomware-nyttelasten.

Funktioner i Charon Ransomware

Når Charon er installeret, opfører den sig som andre destruktive ransomware-varianter, men med optimeringer, der gør den både forstyrrende og effektiv. Den kan:

  • Afslut sikkerhedsrelaterede tjenester og aktive processer.
  • Slet sikkerhedskopier og skyggekopier for at hindre gendannelse.
  • Brug multithreading og delvis kryptering for hurtigere fillåsning.

En anden interessant funktion er dens inkorporering af en driver samlet fra open source-projektet Dark-Kill. Dette muliggør et BYOVD-angreb (bring your own vulnerable driver) for at deaktivere EDR-værktøjer. Forskerne fandt dog ud af, at denne funktion endnu ikke er aktiv, hvilket tyder på, at den stadig er under udvikling.

Tegn på en målrettet operation

Efterforskere mener, at denne kampagne var bevidst snarere end opportunistisk. Denne konklusion er baseret på tilstedeværelsen af en løsesumsnota, der er tilpasset til at nævne offerorganisationen ved navn, hvilket er en sjældenhed i typiske ransomware-hændelser. Metoden, der blev brugt til den indledende adgang, er fortsat ukendt.

Usikker tilskrivning

Selvom Charons teknikker deler ligheder med Earth Baxias operationer, advarer eksperter om, at denne overlapning kan indikere:

  • Direkte involvering af Jorden Baxia.
  • En falsk flag-operation designet til at efterligne Jorden Baxia.
  • En ny gruppe, der uafhængigt udvikler lignende taktikker.

    • Uden klare beviser som fælles infrastruktur eller ensartede målretningsmønstre forbliver forbindelsen spekulativ.

    Den voksende konvergens af cyberkriminalitet og nationalstatslige taktikker

    Denne hændelse understreger en bekymrende tendens: ransomware-grupper anvender i stigende grad APT-kvalitetsmetoder til indtrængen og undvigelse. Blandingen af snabbert handelshåndværk med den umiddelbare økonomiske og operationelle skade ved ransomware-kryptering øger indsatsen betydeligt for de målrettede organisationer.

    Trending

    Mest sete

    Indlæser...