Ransomware-ul Charon

Până în Mezo în Ransomware, Amenințare persistentă avansată (APT)

Tradu in:

Experții în securitate cibernetică au descoperit o nouă campanie ransomware care valorifică o tulpină necunoscută anterior, numită Charon, care vizează în mod specific sectorul public și industria aviatică din Orientul Mijlociu. Operațiunea demonstrează un nivel ridicat de sofisticare, cu tactici asociate de obicei cu actori ai amenințărilor persistente avansate (APT).

Cuprins

Împrumutând tactici din manualele APT

Atacatorii au folosit tehnici avansate, cum ar fi încărcarea laterală DLL, injecția de procese și manevre evazive concepute pentru a ocoli instrumentele de detectare și răspuns la endpoint-uri (EDR). În special, abordarea de încărcare laterală DLL reflectă metodele observate în atacurile Earth Baxia, un grup de hackeri cu legături cu China, cunoscut pentru că vizează entități guvernamentale din Taiwan și regiunea Asia-Pacific.

În incidentele anterioare, Earth Baxia exploatase o eroare din OSGeo GeoServer GeoTools, acum corectată, pentru a crea un backdoor numit EAGLEDOOR. În cazul Charon, atacul a folosit un fișier legitim, Edge.exe (inițial cookie_exporter.exe), pentru a încărca un fișier msedge.dll malițios, cunoscut sub numele de SWORDLDR, care a implementat apoi sarcina ransomware Charon.

Capacitățile ransomware-ului Charon

Odată implementat, Charon se comportă ca alte variante distructive de ransomware, dar cu optimizări care îl fac atât disruptiv, cât și eficient. Poate:

Terminați serviciile și procesele active legate de securitate.
Ștergeți copiile de rezervă și copiile din umbră pentru a împiedica recuperarea.
Folosește multithreading și criptare parțială pentru blocarea mai rapidă a fișierelor.

O altă caracteristică interesantă este încorporarea unui driver compilat din proiectul open-source Dark-Kill. Aceasta permite un atac de tip „bring your own vulnerable driver” (BYOVD) pentru a dezactiva instrumentele EDR. Cu toate acestea, cercetătorii au descoperit că această funcționalitate nu este încă activă, ceea ce sugerează că este încă în curs de dezvoltare.

Semne ale unei operațiuni direcționate

Anchetatorii cred că această campanie a fost deliberată, nu oportunistă. Această concluzie se bazează pe prezența unei note de răscumpărare personalizate pentru a menționa numele organizației victime, o raritate în incidentele tipice de tip ransomware. Metoda utilizată pentru accesul inițial rămâne necunoscută.

Atribuire incertă

Deși tehnicile lui Charon au asemănări cu operațiunile Pământului Baxia, experții avertizează că această suprapunere ar putea indica:

Implicarea directă a Pământului Baxia.

O operațiune cu steag fals, concepută pentru a imita Pământul Baxia.

Un nou grup care dezvoltă independent tactici similare.

Fără dovezi clare, cum ar fi o infrastructură comună sau modele de direcționare consecvente, legătura rămâne speculativă.

Convergența crescândă a criminalității cibernetice și a tacticilor statului-națiune

Acest incident subliniază o tendință îngrijorătoare: grupurile ransomware adoptă din ce în ce mai mult metode de tip APT pentru intruziune și evaziune. Combinația dintre metodele de tip „steelship” și daunele financiare și operaționale imediate ale criptării ransomware crește semnificativ miza pentru organizațiile vizate.

Procesorul de plăți de la EnigmaSoft Digital River GmbH Depunerea de faliment nu afectează protecția anti-malware a clienților SpyHunter

Căutare

Schimbați regiunea

Ransomware-ul Charon

Împrumutând tactici din manualele APT

Capacitățile ransomware-ului Charon

Semne ale unei operațiuni direcționate

Atribuire incertă

Convergența crescândă a criminalității cibernetice și a tacticilor statului-națiune

Trimite comentariu

Trending

Searcherone.com

Grupul de hackeri Chaos RaaS

HyperTextCompile

Cele mai văzute

Programe malware

Înșelătorie prin e-mail „Geek Squad”.

Fuq.com