Rabatttilbud for flere lisenser
Trusseldatabase løsepengeprogramvare Charon Ransomware

Charon Ransomware

Med Mezo i løsepengeprogramvare, Advanced Persistent Threat (APT)
Oversett til:

Nettsikkerhetseksperter har avdekket en ny ransomware-kampanje som utnytter en tidligere ukjent variant ved navn Charon, rettet spesielt mot offentlig sektor og luftfartsindustrien i Midtøsten. Operasjonen viser et høyt nivå av raffinement, med taktikker som vanligvis forbindes med avanserte vedvarende trusselaktører (APT).

Låne taktikker fra APT-håndbøker

Angriperne benyttet avanserte teknikker som DLL-sidelasting, prosessinjeksjon og unnvikelsesmanøvrer designet for å omgå verktøy for endepunktsdeteksjon og -respons (EDR). Det er verdt å merke seg at DLL-sidelastingsmetoden speiler metoder observert i angrep fra Earth Baxia, en Kina-tilknyttet hackergruppe kjent for å målrette myndigheter i Taiwan og Asia-Stillehavsregionen.

I disse tidligere hendelsene hadde Earth Baxia utnyttet en nå oppdatert feil i OSGeo GeoServer GeoTools for å levere en bakdør kalt EAGLEDOOR. I Charon-tilfellet brukte angrepet en legitim fil, Edge.exe (opprinnelig cookie_exporter.exe), til å laste inn en ondsinnet msedge.dll kjent som SWORDLDR, som deretter distribuerte Charon ransomware-nyttelasten.

Funksjoner til Charon Ransomware

Når Charon er distribuert, oppfører den seg som andre destruktive ransomware-varianter, men med optimaliseringer som gjør den både forstyrrende og effektiv. Den kan:

  • Avslutt sikkerhetsrelaterte tjenester og aktive prosesser.
  • Slett sikkerhetskopier og skyggekopier for å hindre gjenoppretting.
  • Bruk flertråding og delvis kryptering for raskere fillåsing.

En annen interessant funksjon er integreringen av en driver samlet fra Dark-Kill-prosjektet med åpen kildekode. Dette muliggjør et BYOVD-angrep (bring your own vulnerable driver) for å deaktivere EDR-verktøy. Forskerne fant imidlertid at denne funksjonen ennå ikke er aktiv, noe som tyder på at den fortsatt er under utvikling.

Tegn på en målrettet operasjon

Etterforskerne mener at denne kampanjen var bevisst snarere enn opportunistisk. Denne konklusjonen er basert på tilstedeværelsen av en løsepengemelding som er tilpasset for å nevne offerorganisasjonen ved navn, en sjeldenhet i typiske løsepengevirushendelser. Metoden som ble brukt for første tilgang er fortsatt ukjent.

Usikker attribusjon

Selv om Charons teknikker deler likheter med Earth Baxias operasjoner, advarer eksperter om at denne overlappingen kan indikere:

  • Direkte involvering av Earth Baxia.
  • En falsk flagg-operasjon designet for å imitere Jorden Baxia.
  • En ny gruppe som uavhengig utvikler lignende taktikker.

    • Uten klare bevis som delt infrastruktur eller konsistente målrettingsmønstre, forblir sammenhengen spekulativ.

    Den økende konvergensen av nettkriminalitet og nasjonalstatlige taktikker

    Denne hendelsen understreker en bekymringsverdig trend: ransomware-grupper tar i økende grad i bruk APT-klasse metoder for inntrenging og unnvikelse. Blandingen av snikende handelshåndverk med den umiddelbare økonomiske og driftsmessige skaden fra ransomware-kryptering øker innsatsen betydelig for målrettede organisasjoner.

    Trender

    Mest sett

    Laster inn...