Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ransomware Charon Ransomware

Charon Ransomware

Por Mezo em Ransomware, Ameaça Persistente Avançada (APT)
Traduzir Para:

Especialistas em segurança cibernética descobriram uma nova campanha de ransomware que utiliza uma variante até então desconhecida chamada Charon, direcionada especificamente ao setor público e à indústria da aviação no Oriente Médio. A operação demonstra um alto nível de sofisticação, com táticas tipicamente associadas a agentes de ameaças persistentes avançadas (APT).

Tomando emprestadas táticas dos manuais do APT

Os invasores empregaram técnicas avançadas, como carregamento lateral de DLLs, injeção de processos e manobras evasivas projetadas para contornar ferramentas de detecção e resposta de endpoints (EDR). Notavelmente, a abordagem de carregamento lateral de DLLs reflete métodos observados em ataques do Earth Baxia, um grupo de hackers ligado à China conhecido por ter como alvo entidades governamentais em Taiwan e na região da Ásia-Pacífico.

Em incidentes anteriores, a Earth Baxia explorou uma falha, agora corrigida, no OSGeo GeoServer GeoTools para implantar um backdoor chamado EAGLEDOOR. No caso do Charon, o ataque utilizou um arquivo legítimo, Edge.exe (originalmente cookie_exporter.exe), para carregar um arquivo malicioso msedge.dll conhecido como SWORDLDR, que então implantou a carga útil do ransomware Charon.

Capacidades do Charon Ransomware

Uma vez implantado, o Charon se comporta como outras variantes de ransomware destrutivas, mas com otimizações que o tornam disruptivo e eficiente. Ele pode:

  • Encerre serviços relacionados à segurança e processos ativos.
  • Exclua backups e cópias de sombra para dificultar a recuperação.
  • Use multithreading e criptografia parcial para bloqueio de arquivos mais rápido.

Outro recurso interessante é a incorporação de um driver compilado do projeto Dark-Kill de código aberto. Isso permite um ataque do tipo "traga seu próprio driver vulnerável" (BYOVD) para desabilitar ferramentas EDR. No entanto, pesquisadores descobriram que esse recurso ainda não está ativo, sugerindo que ainda está em desenvolvimento.

Sinais de uma operação direcionada

Os investigadores acreditam que esta campanha foi deliberada e não oportunista. Esta conclusão baseia-se na presença de uma nota de resgate personalizada que mencionava a organização vítima pelo nome, uma raridade em incidentes típicos de ransomware. O método utilizado para o acesso inicial permanece desconhecido.

Atribuição incerta

Embora as técnicas de Caronte compartilhem semelhanças com as operações da Terra Baxia, especialistas alertam que essa sobreposição pode indicar:

  • Envolvimento direto da Terra Baxia.
  • Uma operação de bandeira falsa projetada para imitar a Terra Baxia.
  • Um novo grupo desenvolvendo táticas semelhantes de forma independente.

    • Sem evidências claras, como infraestrutura compartilhada ou padrões de segmentação consistentes, a conexão permanece especulativa.

    A crescente convergência entre o cibercrime e as táticas dos Estados-nação

    Este incidente destaca uma tendência preocupante: grupos de ransomware estão adotando cada vez mais métodos de nível APT para intrusão e evasão. A combinação de técnicas furtivas com os danos financeiros e operacionais imediatos da criptografia de ransomware aumenta significativamente os riscos para as organizações visadas.

    Tendendo

    Mais visto

    Carregando...