Charon Ransomware
Ειδικοί στον κυβερνοχώρο αποκάλυψαν μια νέα εκστρατεία ransomware που αξιοποιεί ένα προηγουμένως άγνωστο στέλεχος με το όνομα Charon, και απευθύνεται ειδικά στον δημόσιο τομέα και την αεροπορική βιομηχανία στη Μέση Ανατολή. Η επιχείρηση παρουσιάζει υψηλό επίπεδο πολυπλοκότητας, με τακτικές που συνήθως συνδέονται με φορείς προηγμένων μόνιμων απειλών (APT).
Πίνακας περιεχομένων
Δανεισμός τακτικών από τα εγχειρίδια APT
Οι επιτιθέμενοι χρησιμοποίησαν προηγμένες τεχνικές όπως πλευρική φόρτωση DLL, έγχυση διεργασιών και ελιγμούς αποφυγής που έχουν σχεδιαστεί για να παρακάμπτουν τα εργαλεία ανίχνευσης και απόκρισης τελικών σημείων (EDR). Αξίζει να σημειωθεί ότι η προσέγγιση πλευρικής φόρτωσης DLL αντικατοπτρίζει μεθόδους που παρατηρήθηκαν σε επιθέσεις της Earth Baxia, μιας ομάδας χάκερ που συνδέεται με την Κίνα και είναι γνωστή για τη στόχευση κυβερνητικών φορέων στην Ταϊβάν και την περιοχή Ασίας-Ειρηνικού.
Σε αυτά τα προηγούμενα περιστατικά, το Earth Baxia είχε εκμεταλλευτεί ένα σφάλμα στο OSGeo GeoServer GeoTools, το οποίο τώρα έχει διορθωθεί, για να δημιουργήσει ένα backdoor που ονομάζεται EAGLEDOOR. Στην περίπτωση του Charon, η επίθεση χρησιμοποίησε ένα νόμιμο αρχείο, το Edge.exe (αρχικά cookie_exporter.exe), για να φορτώσει ένα κακόβουλο αρχείο msedge.dll γνωστό ως SWORDLDR, το οποίο στη συνέχεια ανέπτυξε το φορτίο ransomware Charon.
Δυνατότητες του Charon Ransomware
Μόλις αναπτυχθεί, το Charon συμπεριφέρεται όπως άλλες καταστροφικές παραλλαγές ransomware, αλλά με βελτιστοποιήσεις που το καθιστούν τόσο ανατρεπτικό όσο και αποτελεσματικό. Μπορεί:
- Τερματίστε υπηρεσίες και ενεργές διαδικασίες που σχετίζονται με την ασφάλεια.
- Διαγράψτε τα αντίγραφα ασφαλείας και τα σκιώδη αντίγραφα για να εμποδίσετε την ανάκτηση.
- Χρησιμοποιήστε πολυνηματική και μερική κρυπτογράφηση για ταχύτερο κλείδωμα αρχείων.
Ένα άλλο ενδιαφέρον χαρακτηριστικό είναι η ενσωμάτωση ενός προγράμματος οδήγησης που έχει μεταγλωττιστεί από το έργο ανοιχτού κώδικα Dark-Kill. Αυτό επιτρέπει σε μια επίθεση bring your own vulnerable driver (BYOVD) να απενεργοποιήσει τα εργαλεία EDR. Ωστόσο, οι ερευνητές διαπίστωσαν ότι αυτή η δυνατότητα δεν είναι ακόμη ενεργή, γεγονός που υποδηλώνει ότι βρίσκεται ακόμη υπό ανάπτυξη.
Σημάδια στοχευμένης επέμβασης
Οι ερευνητές πιστεύουν ότι αυτή η εκστρατεία ήταν σκόπιμη και όχι ευκαιριακή. Αυτό το συμπέρασμα βασίζεται στην παρουσία ενός σημειώματος λύτρων προσαρμοσμένου ώστε να αναφέρει το όνομα του οργανισμού-θύματος, κάτι σπάνιο σε τυπικά περιστατικά ransomware. Η μέθοδος που χρησιμοποιήθηκε για την αρχική πρόσβαση παραμένει άγνωστη.
Αβέβαιη απόδοση
Ενώ οι τεχνικές του Χάροντα έχουν ομοιότητες με τις λειτουργίες του Earth Baxia, οι ειδικοί προειδοποιούν ότι αυτή η επικάλυψη θα μπορούσε να υποδηλώνει:
- Άμεση εμπλοκή της Γης Μπαξία.
Χωρίς σαφή στοιχεία, όπως κοινή υποδομή ή συνεπή πρότυπα στόχευσης, η σύνδεση παραμένει εικασία.
Η αυξανόμενη σύγκλιση του κυβερνοεγκλήματος και των τακτικών εθνικού κράτους
Αυτό το περιστατικό υπογραμμίζει μια ανησυχητική τάση: οι ομάδες ransomware υιοθετούν ολοένα και περισσότερο μεθόδους APT-βαθμού για εισβολή και αποφυγή. Ο συνδυασμός της κρυφής τεχνικής με την άμεση οικονομική και λειτουργική ζημιά της κρυπτογράφησης ransomware αυξάνει σημαντικά τα διακυβεύματα για τους στοχευμένους οργανισμούς.
