Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Ransomware Charon Ransomware

Charon Ransomware

Nga MezoRansomware, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Ekspertët e sigurisë kibernetike kanë zbuluar një fushatë të re ransomware që përdor një lloj virusi të panjohur më parë të quajtur Charon, i cili synon posaçërisht sektorin publik dhe industrinë e aviacionit në Lindjen e Mesme. Operacioni shfaq një nivel të lartë sofistikimi, me taktika që zakonisht shoqërohen me aktorë të kërcënimeve të avancuara të vazhdueshme (APT).

Taktikat e Huamarrjes nga Manualet e APT-së

Sulmuesit përdorën teknika të përparuara si ngarkimi anësor i DLL-së, injektimi i procesit dhe manovrat evazive të dizajnuara për të anashkaluar mjetet e zbulimit dhe reagimit të pikave fundore (EDR). Veçanërisht, qasja e ngarkimit anësor të DLL-së pasqyron metodat e vëzhguara në sulmet nga Earth Baxia, një grup hakerash i lidhur me Kinën i njohur për synimin e subjekteve qeveritare në Tajvan dhe rajonin e Azi-Paqësorit.

Në ato incidente të kaluara, Earth Baxia kishte shfrytëzuar një të metë të riparuar në OSGeo GeoServer GeoTools për të ofruar një derë të pasme të quajtur EAGLEDOOR. Në rastin e Charon, sulmi përdori një skedar legjitim, Edge.exe (fillimisht cookie_exporter.exe), për të ngarkuar një msedge.dll keqdashës të njohur si SWORDLDR, i cili më pas vendosi ngarkesën e ransomware-it Charon.

Aftësitë e Charon Ransomware

Pasi të vendoset, Charon sillet si variante të tjera shkatërruese të ransomware-it, por me optimizime që e bëjnë atë si shkatërrues ashtu edhe efikas. Ai mund të:

  • Ndërpritni shërbimet dhe proceset aktive që lidhen me sigurinë.
  • Fshini kopjet rezervë dhe kopjet në hije për të penguar rikuperimin.
  • Përdorni shumëfillezim dhe enkriptim të pjesshëm për bllokim më të shpejtë të skedarëve.

Një tjetër veçori interesante është përfshirja e një drajveri të përpiluar nga projekti me burim të hapur Dark-Kill. Kjo mundëson një sulm "sillni drajverin tuaj të cenueshëm" (BYOVD) për të çaktivizuar mjetet EDR. Megjithatë, studiuesit zbuluan se kjo aftësi nuk është ende aktive, duke sugjeruar se është ende në zhvillim e sipër.

Shenjat e një operacioni të synuar

Hetuesit besojnë se kjo fushatë ishte e qëllimshme dhe jo oportuniste. Ky përfundim bazohet në praninë e një shënimi për shpërblimin e personalizuar për të përmendur organizatën viktimë me emër, një gjë e rrallë në incidentet tipike të ransomware-it. Metoda e përdorur për aksesin fillestar mbetet e panjohur.

Atribuim i pasigurt

Ndërsa teknikat e Charon kanë ngjashmëri me operacionet e Earth Baxia, ekspertët paralajmërojnë se kjo mbivendosje mund të tregojë:

  • Përfshirje e drejtpërdrejtë e Tokës Baxia.
  • Një operacion me flamur të rremë i projektuar për të imituar Earth Baxia.
  • Një grup i ri që zhvillon në mënyrë të pavarur taktika të ngjashme.

    • Pa prova të qarta si infrastruktura e përbashkët ose modelet e qëndrueshme të synimit, lidhja mbetet spekulative.

    Konvergjenca në rritje e krimit kibernetik dhe taktikave të shtetit kombëtar

    Ky incident nënvizon një trend shqetësues: grupet e ransomware-it po përvetësojnë gjithnjë e më shumë metoda të nivelit APT për ndërhyrje dhe shmangie. Përzierja e zanatit të fshehtë me dëmin e menjëhershëm financiar dhe operacional të enkriptimit të ransomware-it rrit ndjeshëm rreziqet për organizatat e synuara.

    Në trend

    Më e shikuara

    Po ngarkohet...