Ponuda s popustom na više licenci
Baza prijetnji Ransomware Charon ransomware

Charon ransomware

Do Mezo. Ransomware, Napredna trajna prijetnja (APT). godine
Prevedi na:

Stručnjaci za kibernetičku sigurnost otkrili su novu kampanju ransomwarea koja koristi prethodno nepoznati soj pod nazivom Charon, a posebno je usmjerena na javni sektor i zrakoplovnu industriju na Bliskom istoku. Operacija pokazuje visoku razinu sofisticiranosti, s taktikama koje se obično povezuju s akterima naprednih perzistentnih prijetnji (APT).

Posuđivanje taktika iz APT priručnika

Napadači su koristili napredne tehnike poput bočnog učitavanja DLL-a, ubrizgavanja procesa i manevara izbjegavanja osmišljenih za zaobilaženje alata za otkrivanje i odgovor na krajnje točke (EDR). Važno je napomenuti da pristup bočnog učitavanja DLL-a odražava metode uočene u napadima Earth Baxije, hakerske skupine povezane s Kinom poznate po ciljanju vladinih subjekata u Tajvanu i azijsko-pacifičkoj regiji.

U tim prošlim incidentima, Earth Baxia je iskoristila sada već zakrpanu grešku u OSGeo GeoServeru GeoTools kako bi postavila stražnja vrata pod nazivom EAGLEDOOR. U slučaju Charona, napad je koristio legitimnu datoteku, Edge.exe (izvorno cookie_exporter.exe), za učitavanje zlonamjernog msedge.dll-a poznatog kao SWORDLDR, koji je zatim instalirao Charon ransomware payload.

Mogućnosti Charon Ransomwarea

Nakon što se implementira, Charon se ponaša kao i druge destruktivne varijante ransomwarea, ali s optimizacijama koje ga čine i ometajućim i učinkovitim. Može:

  • Prekinite sigurnosne usluge i aktivne procese.
  • Izbrišite sigurnosne kopije i kopije u sjeni kako biste onemogućili oporavak.
  • Koristite višenitnost i djelomično šifriranje za brže zaključavanje datoteka.

Još jedna zanimljiva značajka je uključivanje upravljačkog programa kompajliranog iz projekta otvorenog koda Dark-Kill. To omogućuje napad "donesi svoj vlastiti ranjivi upravljački program" (BYOVD) kako bi se onemogućili EDR alati. Međutim, istraživači su otkrili da ta mogućnost još nije aktivna, što sugerira da je još uvijek u razvoju.

Znakovi ciljane operacije

Istražitelji vjeruju da je ova kampanja bila namjerna, a ne oportunistička. Ovaj zaključak temelji se na prisutnosti poruke s zahtjevom za otkupninu prilagođene da spominje organizaciju žrtve po imenu, što je rijetkost u tipičnim incidentima s ransomwareom. Metoda korištena za početni pristup ostaje nepoznata.

Neizvjesna atribucija

Iako Charonove tehnike dijele sličnosti s operacijama zemaljke Baxia, stručnjaci upozoravaju da bi ovo preklapanje moglo ukazivati na:

  • Izravna uključenost Zemlje Baxia.
  • Operacija pod lažnom zastavom osmišljena da imitira Zemlju Baxiu.
  • Nova grupa neovisno razvija slične taktike.

    • Bez jasnih dokaza poput zajedničke infrastrukture ili dosljednih obrazaca ciljanja, veza ostaje spekulativna.

    Rastuća konvergencija kibernetičkog kriminala i taktika nacionalnih država

    Ovaj incident naglašava zabrinjavajući trend: ransomware skupine sve više usvajaju APT-razine metode za upad i izbjegavanje. Kombinacija prikrivenih vještina s neposrednom financijskom i operativnom štetom ransomware enkripcije značajno povećava uloge za ciljane organizacije.

    U trendu

    Nagledanije

    Učitavam...