Charon Ransomware
Стручњаци за сајбер безбедност открили су нову кампању рансомвера која користи раније непознати сој под називом Харон, а усмерена је посебно на јавни сектор и ваздухопловну индустрију на Блиском истоку. Операција показује висок ниво софистицираности, са тактикама које се обично повезују са актерима напредних перзистентних претњи (APT).
Преглед садржаја
Позајмљивање тактика из APT приручника
Нападачи су користили напредне технике као што су бочно учитавање DLL-а, убризгавање процеса и маневри избегавања осмишљени да заобиђу алате за детекцију и реаговање на крајње тачке (EDR). Приметно је да приступ бочног учитавања DLL-а одражава методе примећене у нападима Earth Baxia, хакерске групе повезане са Кином, познате по циљању владиних ентитета на Тајвану и у Азијско-пацифичком региону.
У тим прошлим инцидентима, Earth Baxia је искористила сада исправљену грешку у OSGeo GeoServer GeoTools-у да би поставила задња врата под називом EAGLEDOOR. У случају Charon-а, напад је користио легитимну датотеку, Edge.exe (првобитно cookie_exporter.exe), да би учитао злонамерну датотеку msedge.dll познату као SWORDLDR, која је затим распоредила Charon ransomware пакет.
Могућности рансомвера Харон
Једном када се распореди, Харон се понаша као и друге деструктивне варијанте ransomware-а, али са оптимизацијама које га чине и ометајућим и ефикасним. Може:
- Зауставите услуге и активне процесе везане за безбедност.
- Обришите резервне копије и сенчене копије да бисте спречили опоравак.
- Користите вишенитност и делимично шифровање за брже закључавање датотека.
Још једна занимљива карактеристика је уградња драјвера компајлираног из пројекта отвореног кода Dark-Kill. Ово омогућава напад „донеси свој рањиви драјвер“ (BYOVD) како би се онемогућили EDR алати. Међутим, истраживачи су открили да ова могућност још увек није активна, што сугерише да је још увек у развоју.
Знаци циљане операције
Истражитељи верују да је ова кампања била намерна, а не опортунистичка. Овај закључак се заснива на присуству поруке са захтевом за откупнину прилагођене тако да помиње организацију жртву по имену, што је реткост у типичним инцидентима са ransomware-ом. Метод који је коришћен за почетни приступ остаје непознат.
Неизвесно приписивање
Иако Харонове технике деле сличности са операцијама земаљске Баксије, стручњаци упозоравају да би ово преклапање могло указивати на:
- Директно учешће Земље Баксија.
- Лажна операција осмишљена да имитира Земљу Баксију.
- Нова група независно развија сличне тактике.
Без јасних доказа попут заједничке инфраструктуре или доследних образаца циљања, веза остаје спекулативна.
Растућа конвергенција сајбер криминала и тактика националне државе
Овај инцидент наглашава забрињавајући тренд: групе које користе ransomware све више усвајају APT методе за упад и избегавање. Комбинација прикривених вештина са непосредном финансијском и оперативном штетом од ransomware шифровања значајно повећава улог за циљане организације.
