Charon Ransomware
Eksperci ds. cyberbezpieczeństwa odkryli nową kampanię ransomware wykorzystującą nieznany wcześniej szczep o nazwie Charon, wymierzony w sektor publiczny i przemysł lotniczy na Bliskim Wschodzie. Operacja charakteryzuje się wysokim poziomem wyrafinowania, a jej taktyka jest typowa dla ataków APT (Advanced Persistent Threat).
Spis treści
Pożyczanie taktyk z podręczników APT
Atakujący zastosowali zaawansowane techniki, takie jak boczne ładowanie bibliotek DLL, wstrzykiwanie procesów i manewry wymijające, mające na celu ominięcie narzędzi wykrywania i reagowania na ataki w punktach końcowych (EDR). Warto zauważyć, że podejście polegające na bocznym ładowaniu bibliotek DLL odzwierciedla metody stosowane w atakach Earth Baxia, powiązanej z Chinami grupy hakerskiej, znanej z ataków na instytucje rządowe na Tajwanie i w regionie Azji i Pacyfiku.
W tych poprzednich incydentach Earth Baxia wykorzystała obecnie załataną lukę w OSGeo GeoServer GeoTools, aby dostarczyć backdoor o nazwie EAGLEDOOR. W przypadku Charona, atak wykorzystał legalny plik Edge.exe (pierwotnie cookie_exporter.exe) do załadowania złośliwego pliku msedge.dll o nazwie SWORDLDR, który następnie uruchomił ładunek ransomware Charon.
Możliwości oprogramowania ransomware Charon
Po wdrożeniu Charon zachowuje się jak inne destrukcyjne warianty ransomware, ale z optymalizacjami, które czynią go zarówno destrukcyjnym, jak i wydajnym. Potrafi:
- Zakończ usługi związane z bezpieczeństwem i aktywne procesy.
- Usuń kopie zapasowe i kopie w tle, aby utrudnić odzyskiwanie.
- Użyj wielowątkowości i częściowego szyfrowania, aby szybciej blokować pliki.
Kolejną interesującą funkcją jest włączenie sterownika skompilowanego z projektu Dark-Kill, będącego licencją open source. Umożliwia to atak typu „przynieś własny podatny sterownik” (BYOVD) w celu wyłączenia narzędzi EDR. Jednak badacze odkryli, że ta funkcja nie jest jeszcze aktywna, co sugeruje, że jest nadal w fazie rozwoju.
Oznaki operacji celowej
Śledczy uważają, że ta kampania była celowa, a nie oportunistyczna. Wniosek ten opiera się na obecności listu z żądaniem okupu, w którym wymieniono nazwę organizacji ofiary, co jest rzadkością w typowych przypadkach ataków ransomware. Metoda użyta do uzyskania dostępu pozostaje nieznana.
Niepewna atrybucja
Choć techniki stosowane przez Charona są podobne do tych stosowanych na Ziemi, eksperci ostrzegają, że to podobieństwo może wskazywać na:
- Bezpośrednie zaangażowanie Ziemi Baxia.
Bez jednoznacznych dowodów, takich jak wspólna infrastruktura lub spójne wzorce ukierunkowania, związek ten pozostaje spekulatywny.
Rosnąca zbieżność cyberprzestępczości i taktyk państw narodowych
Ten incydent uwydatnia niepokojący trend: grupy ransomware coraz częściej stosują metody klasy APT do włamań i unikania ataków. Połączenie ukrytej techniki z bezpośrednimi stratami finansowymi i operacyjnymi wynikającymi z szyfrowania ransomware znacznie zwiększa ryzyko dla organizacji będących celem ataku.
