Charon Ransomware

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਿਰਾਂ ਨੇ ਇੱਕ ਤਾਜ਼ਾ ਰੈਨਸਮਵੇਅਰ ਮੁਹਿੰਮ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ ਜੋ ਪਹਿਲਾਂ ਤੋਂ ਅਣਜਾਣ ਚੈਰੋਨ ਨਾਮਕ ਸਟ੍ਰੇਨ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ, ਜਿਸਦਾ ਉਦੇਸ਼ ਖਾਸ ਤੌਰ 'ਤੇ ਮੱਧ ਪੂਰਬ ਵਿੱਚ ਜਨਤਕ ਖੇਤਰ ਅਤੇ ਹਵਾਬਾਜ਼ੀ ਉਦਯੋਗ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ ਹੈ। ਇਹ ਕਾਰਵਾਈ ਉੱਚ ਪੱਧਰੀ ਸੂਝ-ਬੂਝ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ, ਜਿਸ ਵਿੱਚ ਰਣਨੀਤੀਆਂ ਆਮ ਤੌਰ 'ਤੇ ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥਰੈੱਟ (APT) ਐਕਟਰਾਂ ਨਾਲ ਜੁੜੀਆਂ ਹੁੰਦੀਆਂ ਹਨ।

APT ਪਲੇਬੁੱਕਸ ਤੋਂ ਰਣਨੀਤੀਆਂ ਉਧਾਰ ਲੈਣਾ

ਹਮਲਾਵਰਾਂ ਨੇ ਡੀਐਲਐਲ ਸਾਈਡ-ਲੋਡਿੰਗ, ਪ੍ਰੋਸੈਸ ਇੰਜੈਕਸ਼ਨ, ਅਤੇ ਐਂਡਪੁਆਇੰਟ ਡਿਟੈਕਸ਼ਨ ਐਂਡ ਰਿਸਪਾਂਸ (ਈਡੀਆਰ) ਟੂਲਸ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੀਆਂ ਗਈਆਂ ਐਵੇਸੀਵ ਮੈਨੂਵਰ ਵਰਗੀਆਂ ਉੱਨਤ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ। ਖਾਸ ਤੌਰ 'ਤੇ, ਡੀਐਲਐਲ ਸਾਈਡ-ਲੋਡਿੰਗ ਪਹੁੰਚ ਅਰਥ ਬੈਕਸੀਆ ਦੁਆਰਾ ਹਮਲਿਆਂ ਵਿੱਚ ਦੇਖੇ ਗਏ ਤਰੀਕਿਆਂ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ, ਜੋ ਕਿ ਚੀਨ ਨਾਲ ਜੁੜਿਆ ਹੈਕਿੰਗ ਸਮੂਹ ਹੈ ਜੋ ਤਾਈਵਾਨ ਅਤੇ ਏਸ਼ੀਆ-ਪ੍ਰਸ਼ਾਂਤ ਖੇਤਰ ਵਿੱਚ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ।

ਪਿਛਲੀਆਂ ਘਟਨਾਵਾਂ ਵਿੱਚ, ਅਰਥ ਬੈਕਸੀਆ ਨੇ OSGeo GeoServer GeoTools ਵਿੱਚ ਇੱਕ ਹੁਣ-ਪੈਚ ਕੀਤੀ ਗਈ ਨੁਕਸ ਦਾ ਫਾਇਦਾ ਉਠਾ ਕੇ EAGLEDOOR ਨਾਮਕ ਇੱਕ ਬੈਕਡੋਰ ਪ੍ਰਦਾਨ ਕੀਤਾ ਸੀ। Charon ਮਾਮਲੇ ਵਿੱਚ, ਹਮਲੇ ਨੇ ਇੱਕ ਜਾਇਜ਼ ਫਾਈਲ, Edge.exe (ਅਸਲ ਵਿੱਚ cookie_exporter.exe) ਦੀ ਵਰਤੋਂ ਇੱਕ ਖਤਰਨਾਕ msedge.dll ਨੂੰ ਲੋਡ ਕਰਨ ਲਈ ਕੀਤੀ ਜਿਸਨੂੰ SWORDLDR ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜਿਸਨੇ ਫਿਰ Charon ransomware ਪੇਲੋਡ ਨੂੰ ਤੈਨਾਤ ਕੀਤਾ।

ਚੈਰਨ ਰੈਨਸਮਵੇਅਰ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ

ਇੱਕ ਵਾਰ ਤੈਨਾਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, Charon ਹੋਰ ਵਿਨਾਸ਼ਕਾਰੀ ਰੈਨਸਮਵੇਅਰ ਰੂਪਾਂ ਵਾਂਗ ਵਿਵਹਾਰ ਕਰਦਾ ਹੈ, ਪਰ ਅਨੁਕੂਲਤਾਵਾਂ ਦੇ ਨਾਲ ਜੋ ਇਸਨੂੰ ਵਿਘਨਕਾਰੀ ਅਤੇ ਕੁਸ਼ਲ ਦੋਵੇਂ ਬਣਾਉਂਦੇ ਹਨ। ਇਹ ਕਰ ਸਕਦਾ ਹੈ:

• ਸੁਰੱਖਿਆ ਨਾਲ ਸਬੰਧਤ ਸੇਵਾਵਾਂ ਅਤੇ ਸਰਗਰਮ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਖਤਮ ਕਰੋ।
• ਰਿਕਵਰੀ ਵਿੱਚ ਰੁਕਾਵਟ ਪਾਉਣ ਲਈ ਬੈਕਅੱਪ ਅਤੇ ਸ਼ੈਡੋ ਕਾਪੀਆਂ ਨੂੰ ਮਿਟਾਓ।
• ਤੇਜ਼ ਫਾਈਲ-ਲਾਕਿੰਗ ਲਈ ਮਲਟੀਥ੍ਰੈਡਿੰਗ ਅਤੇ ਅੰਸ਼ਕ ਇਨਕ੍ਰਿਪਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰੋ।

ਇੱਕ ਹੋਰ ਦਿਲਚਸਪ ਵਿਸ਼ੇਸ਼ਤਾ ਇਹ ਹੈ ਕਿ ਇਸ ਵਿੱਚ ਓਪਨ-ਸੋਰਸ ਡਾਰਕ-ਕਿਲ ਪ੍ਰੋਜੈਕਟ ਤੋਂ ਕੰਪਾਇਲ ਕੀਤੇ ਗਏ ਡਰਾਈਵਰ ਨੂੰ ਸ਼ਾਮਲ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ EDR ਟੂਲਸ ਨੂੰ ਅਯੋਗ ਕਰਨ ਲਈ ਆਪਣੇ ਖੁਦ ਦੇ ਕਮਜ਼ੋਰ ਡਰਾਈਵਰ (BYOVD) ਹਮਲੇ ਨੂੰ ਲਿਆਉਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪਾਇਆ ਕਿ ਇਹ ਸਮਰੱਥਾ ਅਜੇ ਸਰਗਰਮ ਨਹੀਂ ਹੈ, ਇਹ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਕਿ ਇਹ ਅਜੇ ਵੀ ਵਿਕਾਸ ਅਧੀਨ ਹੈ।

ਇੱਕ ਨਿਸ਼ਾਨਾਬੱਧ ਕਾਰਵਾਈ ਦੇ ਸੰਕੇਤ

ਜਾਂਚਕਰਤਾਵਾਂ ਦਾ ਮੰਨਣਾ ਹੈ ਕਿ ਇਹ ਮੁਹਿੰਮ ਮੌਕਾਪ੍ਰਸਤ ਹੋਣ ਦੀ ਬਜਾਏ ਜਾਣਬੁੱਝ ਕੇ ਕੀਤੀ ਗਈ ਸੀ। ਇਹ ਸਿੱਟਾ ਪੀੜਤ ਸੰਗਠਨ ਦਾ ਨਾਮ ਲੈ ਕੇ ਜ਼ਿਕਰ ਕਰਨ ਲਈ ਅਨੁਕੂਲਿਤ ਫਿਰੌਤੀ ਨੋਟ ਦੀ ਮੌਜੂਦਗੀ 'ਤੇ ਅਧਾਰਤ ਹੈ, ਜੋ ਕਿ ਆਮ ਰੈਨਸਮਵੇਅਰ ਘਟਨਾਵਾਂ ਵਿੱਚ ਬਹੁਤ ਘੱਟ ਹੁੰਦਾ ਹੈ। ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਲਈ ਵਰਤਿਆ ਜਾਣ ਵਾਲਾ ਤਰੀਕਾ ਅਣਜਾਣ ਹੈ।

ਅਨਿਸ਼ਚਿਤ ਵਿਸ਼ੇਸ਼ਤਾ

ਜਦੋਂ ਕਿ ਚੈਰੋਨ ਦੀਆਂ ਤਕਨੀਕਾਂ ਧਰਤੀ ਬਕਸ਼ੀਆ ਦੇ ਕਾਰਜਾਂ ਨਾਲ ਸਮਾਨਤਾਵਾਂ ਸਾਂਝੀਆਂ ਕਰਦੀਆਂ ਹਨ, ਮਾਹਰ ਸਾਵਧਾਨ ਕਰਦੇ ਹਨ ਕਿ ਇਹ ਓਵਰਲੈਪ ਸੰਕੇਤ ਕਰ ਸਕਦਾ ਹੈ:

• ਧਰਤੀ ਬਕਸ਼ੀਆ ਦੀ ਸਿੱਧੀ ਸ਼ਮੂਲੀਅਤ।

• ਧਰਤੀ ਬਕਸ਼ੀਆ ਦੀ ਨਕਲ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਇੱਕ ਝੂਠਾ ਝੰਡਾ ਆਪ੍ਰੇਸ਼ਨ।

• ਇੱਕ ਨਵਾਂ ਸਮੂਹ ਸੁਤੰਤਰ ਤੌਰ 'ਤੇ ਸਮਾਨ ਰਣਨੀਤੀਆਂ ਵਿਕਸਤ ਕਰ ਰਿਹਾ ਹੈ।

ਸਾਂਝੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਜਾਂ ਇਕਸਾਰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਦੇ ਪੈਟਰਨਾਂ ਵਰਗੇ ਸਪੱਸ਼ਟ ਸਬੂਤਾਂ ਤੋਂ ਬਿਨਾਂ, ਇਹ ਸਬੰਧ ਅੰਦਾਜ਼ੇ 'ਤੇ ਆਧਾਰਿਤ ਰਹਿੰਦਾ ਹੈ।

ਸਾਈਬਰ ਅਪਰਾਧ ਅਤੇ ਰਾਸ਼ਟਰ-ਰਾਜ ਰਣਨੀਤੀਆਂ ਦਾ ਵਧਦਾ ਕਨਵਰਜੈਂਸ

ਇਹ ਘਟਨਾ ਇੱਕ ਚਿੰਤਾਜਨਕ ਰੁਝਾਨ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ: ਰੈਨਸਮਵੇਅਰ ਸਮੂਹ ਘੁਸਪੈਠ ਅਤੇ ਚੋਰੀ ਲਈ APT-ਗ੍ਰੇਡ ਤਰੀਕਿਆਂ ਨੂੰ ਤੇਜ਼ੀ ਨਾਲ ਅਪਣਾ ਰਹੇ ਹਨ। ਰੈਨਸਮਵੇਅਰ ਐਨਕ੍ਰਿਪਸ਼ਨ ਦੇ ਤੁਰੰਤ ਵਿੱਤੀ ਅਤੇ ਸੰਚਾਲਨ ਨੁਕਸਾਨ ਦੇ ਨਾਲ ਸਟੀਲਥੀ ਟ੍ਰੇਡਕ੍ਰਾਫਟ ਦਾ ਮਿਸ਼ਰਣ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਸੰਗਠਨਾਂ ਲਈ ਦਾਅ ਨੂੰ ਕਾਫ਼ੀ ਵਧਾਉਂਦਾ ਹੈ।