Rabattoffert för flera licenser
Hotdatabas Ransomware Charon Ransomware

Charon Ransomware

Med Mezo år Ransomware, Advanced Persistent Threat (APT)
Översätt till:

Cybersäkerhetsexperter har avslöjat en ny ransomware-kampanj som utnyttjar en tidigare okänd variant vid namn Charon, specifikt riktad mot den offentliga sektorn och flygindustrin i Mellanöstern. Operationen uppvisar en hög grad av sofistikering, med taktiker som vanligtvis förknippas med avancerade persistenta hot (APT-aktörer).

Låna taktiker från APT Playbooks

Angriparna använde avancerade tekniker som DLL-sidoladdning, processinjektion och undanmanövrar utformade för att kringgå verktyg för endpoint detection and response (EDR). Det är värt att notera att DLL-sidoladdningsmetoden speglar metoder som observerats i attacker av Earth Baxia, en Kina-kopplad hackergrupp känd för att rikta in sig på myndigheter i Taiwan och Asien-Stillahavsområdet.

I dessa tidigare incidenter hade Earth Baxia utnyttjat en nu åtgärdad brist i OSGeo GeoServer GeoTools för att leverera en bakdörr som heter EAGLEDOOR. I Charon-fallet använde attacken en legitim fil, Edge.exe (ursprungligen cookie_exporter.exe), för att ladda en skadlig msedge.dll känd som SWORDLDR, som sedan distribuerade Charon ransomware-nyttolasten.

Funktioner hos Charon Ransomware

När Charon väl är driftsatt beter sig det som andra destruktiva ransomware-varianter, men med optimeringar som gör det både störande och effektivt. Det kan:

  • Avsluta säkerhetsrelaterade tjänster och aktiva processer.
  • Ta bort säkerhetskopior och skuggkopior för att hindra återställning.
  • Använd multitrådning och partiell kryptering för snabbare fillåsning.

En annan intressant funktion är dess införlivande av en drivrutin som kompilerats från det öppna källkodsprojektet Dark-Kill. Detta möjliggör en BYOVD-attack (bring your own vulnerable driver) för att inaktivera EDR-verktyg. Forskare fann dock att denna funktion ännu inte är aktiv, vilket tyder på att den fortfarande är under utveckling.

Tecken på en riktad operation

Utredarna tror att kampanjen var avsiktlig snarare än opportunistisk. Denna slutsats baseras på förekomsten av ett lösensummabrev som är anpassat för att nämna offrets organisation vid namn, en sällsynthet vid typiska ransomware-incidenter. Metoden som användes för initial åtkomst är fortfarande okänd.

Osäker tillskrivning

Även om Charons tekniker delar likheter med Earth Baxias verksamhet, varnar experter för att denna överlappning kan tyda på:

  • Direkt inblandning av Earth Baxia.
  • En falsk flagg-operation utformad för att imitera Jorden Baxia.
  • En ny grupp som självständigt utvecklar liknande taktiker.

    • Utan tydliga bevis som delad infrastruktur eller konsekventa inriktningsmönster förblir sambandet spekulativt.

    Den växande konvergensen mellan cyberbrottslighet och nationalstatliga taktiker

    Denna händelse understryker en oroande trend: ransomware-grupper använder i allt högre grad APT-klassade metoder för intrång och undvikande av angrepp. Blandningen av smygande hantverk med den omedelbara ekonomiska och operativa skadan av ransomware-kryptering ökar insatserna avsevärt för de berörda organisationerna.

    Trendigt

    Mest sedda

    Läser in...