Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Ransomware Charon-ransomware

Charon-ransomware

Tegen Mezo in Ransomware, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

Cybersecurity-experts hebben een nieuwe ransomwarecampagne ontdekt die gebruikmaakt van een voorheen onbekende variant genaamd Charon, specifiek gericht op de publieke sector en de luchtvaartindustrie in het Midden-Oosten. De operatie vertoont een hoge mate van verfijning, met tactieken die doorgaans worden geassocieerd met geavanceerde persistente bedreigingen (APT).

Tactieken lenen uit APT-handboeken

De aanvallers maakten gebruik van geavanceerde technieken zoals DLL-sideloading, procesinjectie en ontwijkende manoeuvres om EDR-tools (Endpoint Detection and Response) te omzeilen. De DLL-sideloading-aanpak lijkt op de methoden die zijn gebruikt bij aanvallen van Earth Baxia, een aan China gelieerde hackersgroep die bekendstaat om haar aanvallen op overheidsinstanties in Taiwan en de regio Azië-Pacific.

In die eerdere incidenten had Earth Baxia misbruik gemaakt van een inmiddels gepatchte fout in OSGeo GeoServer GeoTools om een backdoor genaamd EAGLEDOOR te installeren. In het geval van Charon werd een legitiem bestand, Edge.exe (oorspronkelijk cookie_exporter.exe), gebruikt om een schadelijke msedge.dll genaamd SWORDLDR te laden, die vervolgens de Charon-ransomware payload installeerde.

Mogelijkheden van de Charon Ransomware

Eenmaal geïnstalleerd, gedraagt Charon zich als andere destructieve ransomwarevarianten, maar met optimalisaties die het zowel verstorend als efficiënt maken. Het kan:

  • Beëindig beveiligingsgerelateerde services en actieve processen.
  • Verwijder back-ups en schaduwkopieën om herstel te belemmeren.
  • Gebruik multithreading en gedeeltelijke encryptie voor snellere bestandsvergrendeling.

Een andere interessante feature is de integratie van een driver die is gecompileerd vanuit het open-source Dark-Kill-project. Dit maakt een BYOVD-aanval (bring your own vulnerable driver) mogelijk om EDR-tools uit te schakelen. Onderzoekers ontdekten echter dat deze mogelijkheid nog niet actief is, wat suggereert dat deze nog in ontwikkeling is.

Tekenen van een gerichte operatie

Onderzoekers zijn van mening dat deze campagne opzettelijk en niet opportunistisch was. Deze conclusie is gebaseerd op de aanwezigheid van een losgeldbrief waarin de naam van de slachtofferorganisatie werd genoemd, een zeldzaamheid bij typische ransomware-incidenten. De methode die voor de eerste toegang werd gebruikt, blijft onbekend.

Onzekere toeschrijving

Hoewel de technieken van Charon overeenkomsten vertonen met de activiteiten van Earth Baxia, waarschuwen experts dat deze overlapping kan wijzen op:

  • Directe betrokkenheid van Earth Baxia.
  • Een valse vlagoperatie, bedoeld om de Aarde Baxia te imiteren.
  • Een nieuwe groep die onafhankelijk van elkaar soortgelijke tactieken ontwikkelt.

    • Zonder duidelijk bewijs, zoals een gedeelde infrastructuur of consistente targetingpatronen, blijft het verband speculatief.

    De groeiende convergentie van cybercriminaliteit en tactieken van natiestaten

    Dit incident onderstreept een zorgwekkende trend: ransomware-groepen gebruiken steeds vaker APT-achtige methoden voor inbraak en ontwijking. De combinatie van sluwe handigheid en de directe financiële en operationele schade van ransomware-encryptie verhoogt de inzet voor doelwitorganisaties aanzienlijk.

    Trending

    Meest bekeken

    Bezig met laden...