Charon रैंसमवेयर

साइबर सुरक्षा विशेषज्ञों ने एक नए रैंसमवेयर अभियान का पर्दाफ़ाश किया है जो पहले से अज्ञात चारोन नामक प्रजाति का इस्तेमाल कर रहा है और जिसका लक्ष्य विशेष रूप से मध्य पूर्व के सार्वजनिक क्षेत्र और विमानन उद्योग को निशाना बनाना है। यह अभियान उच्च स्तर की परिष्कृत तकनीक प्रदर्शित करता है, जिसकी रणनीतियाँ आमतौर पर उन्नत लगातार खतरे (APT) वाले कारकों से जुड़ी होती हैं।

एपीटी प्लेबुक से रणनीतियाँ उधार लेना

हमलावरों ने डीएलएल साइड-लोडिंग, प्रोसेस इंजेक्शन, और एंडपॉइंट डिटेक्शन एंड रिस्पॉन्स (ईडीआर) टूल्स को बायपास करने के लिए डिज़ाइन किए गए बचावात्मक तरीकों जैसी उन्नत तकनीकों का इस्तेमाल किया। गौरतलब है कि डीएलएल साइड-लोडिंग का तरीका, चीन से जुड़े एक हैकिंग समूह, अर्थ बैक्सिया द्वारा किए गए हमलों में देखे गए तरीकों से मिलता-जुलता है, जो ताइवान और एशिया-प्रशांत क्षेत्र में सरकारी संस्थाओं को निशाना बनाने के लिए जाना जाता है।

पिछली घटनाओं में, अर्थ बैक्सिया ने OSGeo जियोसर्वर जियोटूल्स में अब पैच हो चुकी एक खामी का फायदा उठाकर EAGLEDOOR नामक एक बैकडोर तैयार किया था। चारोन मामले में, हमले में एक वैध फ़ाइल, Edge.exe (मूल रूप से cookie_exporter.exe) का इस्तेमाल करके SWORDLDR नामक एक दुर्भावनापूर्ण msedge.dll लोड किया गया, जिसने फिर चारोन रैंसमवेयर पेलोड को तैनात कर दिया।

चारोन रैनसमवेयर की क्षमताएँ

एक बार तैनात होने के बाद, चारोन अन्य विनाशकारी रैंसमवेयर प्रकारों की तरह ही व्यवहार करता है, लेकिन कुछ अनुकूलन के साथ जो इसे विध्वंसकारी और कुशल दोनों बनाते हैं। यह:

• सुरक्षा-संबंधी सेवाओं और सक्रिय प्रक्रियाओं को समाप्त करें।
• पुनर्प्राप्ति में बाधा डालने के लिए बैकअप और छाया प्रतियां हटा दें।
• तीव्र फ़ाइल-लॉकिंग के लिए मल्टीथ्रेडिंग और आंशिक एन्क्रिप्शन का उपयोग करें।

एक और दिलचस्प विशेषता यह है कि इसमें ओपन-सोर्स डार्क-किल प्रोजेक्ट से संकलित एक ड्राइवर शामिल है। यह EDR टूल्स को निष्क्रिय करने के लिए "अपना खुद का भेद्य ड्राइवर लाओ" (BYOVD) हमले को सक्षम बनाता है। हालाँकि, शोधकर्ताओं ने पाया कि यह क्षमता अभी सक्रिय नहीं है, जिससे पता चलता है कि यह अभी भी विकास के अधीन है।

लक्षित ऑपरेशन के संकेत

जाँचकर्ताओं का मानना है कि यह अभियान अवसरवादी नहीं, बल्कि जानबूझकर चलाया गया था। यह निष्कर्ष पीड़ित संगठन का नाम बताने के लिए तैयार किए गए एक फिरौती नोट की मौजूदगी पर आधारित है, जो सामान्य रैंसमवेयर घटनाओं में दुर्लभ है। प्रारंभिक पहुँच के लिए इस्तेमाल किया गया तरीका अभी भी अज्ञात है।

अनिश्चित आरोपण

हालांकि चारोन की तकनीकें पृथ्वी बैक्सिया के संचालन से समानताएं साझा करती हैं, लेकिन विशेषज्ञ चेतावनी देते हैं कि यह ओवरलैप निम्नलिखित संकेत दे सकता है:

• पृथ्वी बैक्सिया की प्रत्यक्ष भागीदारी.

• पृथ्वी बैक्सिया की नकल करने के लिए डिज़ाइन किया गया एक झूठा झंडा ऑपरेशन।

• एक नया समूह स्वतंत्र रूप से समान रणनीति विकसित कर रहा है।

साझा बुनियादी ढांचे या सुसंगत लक्ष्यीकरण पैटर्न जैसे स्पष्ट सबूतों के बिना, यह संबंध अटकलबाजी ही बना हुआ है।

साइबर अपराध और राष्ट्र-राज्य रणनीति का बढ़ता अभिसरण

यह घटना एक चिंताजनक प्रवृत्ति को रेखांकित करती है: रैंसमवेयर समूह घुसपैठ और चोरी के लिए APT-स्तर के तरीकों को तेज़ी से अपना रहे हैं। रैंसमवेयर एन्क्रिप्शन के तत्काल वित्तीय और परिचालन संबंधी नुकसान के साथ गुप्त व्यापार-कौशल का मिश्रण लक्षित संगठनों के लिए जोखिम को काफ़ी बढ़ा देता है।