Charon Ransomware
Gli esperti di sicurezza informatica hanno scoperto una nuova campagna ransomware che sfrutta un ceppo precedentemente sconosciuto chiamato Charon, specificamente mirato al settore pubblico e all'industria aeronautica in Medio Oriente. L'operazione mostra un elevato livello di sofisticazione, con tattiche tipicamente associate ad autori di minacce persistenti avanzate (APT).
Sommario
Prendere in prestito tattiche dai manuali APT
Gli aggressori hanno utilizzato tecniche avanzate come il caricamento laterale delle DLL, l'iniezione di processi e manovre evasive progettate per aggirare gli strumenti di rilevamento e risposta degli endpoint (EDR). In particolare, l'approccio al caricamento laterale delle DLL rispecchia i metodi osservati negli attacchi di Earth Baxia, un gruppo di hacker legato alla Cina noto per aver preso di mira enti governativi a Taiwan e nella regione Asia-Pacifico.
In quegli incidenti passati, Earth Baxia aveva sfruttato una falla, ora corretta, in OSGeo GeoServer GeoTools per diffondere una backdoor chiamata EAGLEDOOR. Nel caso di Charon, l'attacco ha utilizzato un file legittimo, Edge.exe (originariamente cookie_exporter.exe), per caricare un file msedge.dll dannoso noto come SWORDLDR, che ha poi distribuito il payload del ransomware Charon.
Capacità del ransomware Charon
Una volta implementato, Charon si comporta come altre varianti distruttive di ransomware, ma con ottimizzazioni che lo rendono sia distruttivo che efficiente. Può:
- Terminare i servizi relativi alla sicurezza e i processi attivi.
- Eliminare i backup e le copie shadow per ostacolare il ripristino.
- Utilizza il multithreading e la crittografia parziale per un blocco più rapido dei file.
Un'altra caratteristica interessante è l'integrazione di un driver compilato dal progetto open source Dark-Kill. Questo consente un attacco BYOVD (Bring Your Own Vulnerable Driver) per disabilitare gli strumenti EDR. Tuttavia, i ricercatori hanno scoperto che questa funzionalità non è ancora attiva, il che suggerisce che sia ancora in fase di sviluppo.
Segnali di un’operazione mirata
Gli investigatori ritengono che questa campagna sia stata deliberata piuttosto che opportunistica. Questa conclusione si basa sulla presenza di una richiesta di riscatto personalizzata che menziona il nome dell'organizzazione vittima, una rarità nei tipici episodi di ransomware. Il metodo utilizzato per l'accesso iniziale rimane sconosciuto.
Attribuzione incerta
Sebbene le tecniche di Charon presentino somiglianze con le operazioni di Earth Baxia, gli esperti avvertono che questa sovrapposizione potrebbe indicare:
- Coinvolgimento diretto di Earth Baxia.
- Un'operazione sotto falsa bandiera progettata per imitare la Baxia terrestre.
- Un nuovo gruppo che sviluppa in modo indipendente tattiche simili.
In assenza di prove evidenti, come infrastrutture condivise o modelli di targeting coerenti, la connessione rimane speculativa.
La crescente convergenza tra criminalità informatica e tattiche degli Stati nazionali
Questo incidente evidenzia una tendenza preoccupante: i gruppi ransomware stanno adottando sempre più metodi di livello APT per intrusione ed elusione. La combinazione di tecniche furtive con l'immediato danno finanziario e operativo della crittografia ransomware aumenta significativamente la posta in gioco per le organizzazioni prese di mira.
