Ransomvér Charon
Odborníci na kybernetickú bezpečnosť odhalili novú ransomvérovú kampaň využívajúcu doteraz neznámy kmeň s názvom Charon, zameranú konkrétne na verejný sektor a letecký priemysel na Blízkom východe. Operácia vykazuje vysokú úroveň sofistikovanosti s taktikami typicky spojenými s aktérmi s pokročilými perzistentnými hrozbami (APT).
Obsah
Požičiavanie si taktík z APT Playbooks
Útočníci použili pokročilé techniky, ako je bočné načítanie DLL, vstrekovanie procesov a úhybné manévre, ktoré sú navrhnuté tak, aby obišli nástroje na detekciu a reakciu na koncové body (EDR). Je pozoruhodné, že prístup bočného načítania DLL odráža metódy pozorované pri útokoch Earth Baxia, hackerskej skupiny napojenej na Čínu, ktorá je známa zameraním sa na vládne subjekty na Taiwane a v ázijsko-tichomorskom regióne.
V týchto minulých incidentoch spoločnosť Earth Baxia zneužila teraz už opravenú chybu v nástroji OSGeo GeoServer GeoTools na nasadenie zadných vrátok s názvom EAGLEDOOR. V prípade vírusu Charon útok použil legitímny súbor Edge.exe (pôvodne cookie_exporter.exe) na načítanie škodlivého súboru msedge.dll známeho ako SWORDLDR, ktorý následne nasadil ransomvér Charon.
Schopnosti ransomvéru Charon
Po nasadení sa Charon správa ako iné deštruktívne varianty ransomvéru, ale s optimalizáciami, ktoré ho robia rušivým aj efektívnym. Dokáže:
- Ukončite služby súvisiace so zabezpečením a aktívne procesy.
- Odstráňte zálohy a tieňové kópie, aby ste zabránili obnoveniu.
- Pre rýchlejšie uzamknutie súborov použite viacvláknové spracovanie a čiastočné šifrovanie.
Ďalšou zaujímavou funkciou je začlenenie ovládača zostaveného z open-source projektu Dark-Kill. To umožňuje útok typu „prineste si vlastný zraniteľný ovládač“ (BYOVD) na deaktiváciu nástrojov EDR. Výskumníci však zistili, že táto funkcia ešte nie je aktívna, čo naznačuje, že je stále vo vývoji.
Známky cielenej operácie
Vyšetrovatelia sa domnievajú, že táto kampaň bola skôr úmyselná než oportunistická. Tento záver je založený na prítomnosti výkupného listu upraveného tak, aby uvádzal meno obete, čo je pri typických incidentoch ransomvéru rarita. Metóda použitá na počiatočný prístup zostáva neznáma.
Neistá atribucia
Hoci Charonove techniky majú podobnosti s operáciami pozemskej Baxie, odborníci varujú, že toto prekrývanie by mohlo naznačovať:
- Priame zapojenie Zeme Baxia.
- Operácia pod falošnou vlajkou, ktorá má napodobniť pozemskú Baxiu.
- Nová skupina nezávisle vyvíja podobnú taktiku.
Bez jasných dôkazov, ako je zdieľaná infraštruktúra alebo konzistentné vzorce zacielenia, zostáva toto prepojenie špekulatívne.
Rastúca konvergencia kyberkriminality a taktík národných štátov
Tento incident podčiarkuje znepokojujúci trend: skupiny používajúce ransomvér čoraz častejšie prijímajú metódy na úrovni APT na prienik a obchádzanie. Kombinácia nenápadných obchodných praktik s okamžitými finančnými a prevádzkovými škodami spôsobenými šifrovaním ransomvéru výrazne zvyšuje riziko pre cieľové organizácie.
