Charon Ransomware

மத்திய கிழக்கில் பொதுத்துறை மற்றும் விமானப் போக்குவரத்துத் துறையை இலக்காகக் கொண்ட, முன்னர் அறியப்படாத சாரோன் என்ற வகையைச் சேர்ந்த ஒரு புதிய ரான்சம்வேர் பிரச்சாரத்தை சைபர் பாதுகாப்பு நிபுணர்கள் கண்டுபிடித்துள்ளனர். இந்த நடவடிக்கை உயர் மட்ட நுட்பத்தைக் காட்டுகிறது, தந்திரோபாயங்கள் பொதுவாக மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல் (APT) நடிகர்களுடன் தொடர்புடையவை.

APT பிளேபுக்குகளிலிருந்து கடன் வாங்கும் தந்திரோபாயங்கள்

தாக்குதல் நடத்தியவர்கள் DLL பக்க-ஏற்றுதல், செயல்முறை ஊசி மற்றும் எண்ட்பாயிண்ட் கண்டறிதல் மற்றும் பதில் (EDR) கருவிகளைத் தவிர்ப்பதற்காக வடிவமைக்கப்பட்ட தவிர்க்கும் சூழ்ச்சிகள் போன்ற மேம்பட்ட நுட்பங்களைப் பயன்படுத்தினர். குறிப்பாக, DLL பக்க-ஏற்றுதல் அணுகுமுறை, தைவான் மற்றும் ஆசிய-பசிபிக் பிராந்தியத்தில் உள்ள அரசு நிறுவனங்களை குறிவைப்பதில் பெயர் பெற்ற சீனாவுடன் இணைக்கப்பட்ட ஹேக்கிங் குழுவான எர்த் பாக்ஸியாவின் தாக்குதல்களில் காணப்பட்ட முறைகளைப் பிரதிபலிக்கிறது.

கடந்த கால சம்பவங்களில், Earth Baxia நிறுவனம் OSGeo GeoServer GeoTools இல் தற்போது காணப்படும் ஒரு குறைபாட்டைப் பயன்படுத்தி EAGLEDOOR எனப்படும் ஒரு பின்கதவை வழங்கியது. Charon வழக்கில், தாக்குதல் SWORDLDR எனப்படும் தீங்கிழைக்கும் msedge.dll ஐ ஏற்ற Edge.exe (முதலில் cookie_exporter.exe) என்ற முறையான கோப்பைப் பயன்படுத்தியது, பின்னர் அது Charon ransomware payload ஐப் பயன்படுத்தியது.

சாரோன் ரான்சம்வேரின் திறன்கள்

பயன்படுத்தப்பட்டவுடன், Charon மற்ற அழிவுகரமான ransomware வகைகளைப் போலவே செயல்படுகிறது, ஆனால் அதை சீர்குலைக்கும் மற்றும் திறமையானதாக மாற்றும் மேம்படுத்தல்களுடன். இது:

• பாதுகாப்பு தொடர்பான சேவைகள் மற்றும் செயலில் உள்ள செயல்முறைகளை நிறுத்து.
• மீட்டெடுப்பைத் தடுக்க காப்புப்பிரதிகள் மற்றும் நிழல் நகல்களை நீக்கவும்.
• வேகமான கோப்பு பூட்டுதலுக்கு மல்டித்ரெடிங் மற்றும் பகுதி குறியாக்கத்தைப் பயன்படுத்தவும்.

மற்றொரு சுவாரஸ்யமான அம்சம், ஓப்பன் சோர்ஸ் டார்க்-கில் திட்டத்திலிருந்து தொகுக்கப்பட்ட ஒரு இயக்கியை இது இணைத்துள்ளது. இது EDR கருவிகளை முடக்க உங்கள் சொந்த பலவீனமான இயக்கி (BYOVD) தாக்குதலைத் தூண்டுகிறது. இருப்பினும், இந்த திறன் இன்னும் செயலில் இல்லை என்று ஆராய்ச்சியாளர்கள் கண்டறிந்துள்ளனர், இது இன்னும் வளர்ச்சியில் இருப்பதாகக் கூறுகிறது.

இலக்கு வைக்கப்பட்ட செயல்பாட்டின் அறிகுறிகள்

இந்தப் பிரச்சாரம் சந்தர்ப்பவாதமாக இல்லாமல் வேண்டுமென்றே செய்யப்பட்டது என்று புலனாய்வாளர்கள் நம்புகின்றனர். பாதிக்கப்பட்ட அமைப்பின் பெயரைக் குறிப்பிடும் வகையில் தனிப்பயனாக்கப்பட்ட ஒரு மீட்கும் குறிப்பு இருப்பதை அடிப்படையாகக் கொண்டு இந்த முடிவு எடுக்கப்பட்டுள்ளது, இது வழக்கமான ransomware சம்பவங்களில் அரிதானது. ஆரம்ப அணுகலுக்குப் பயன்படுத்தப்படும் முறை இன்னும் தெரியவில்லை.

நிச்சயமற்ற பண்புக்கூறு

சரோனின் நுட்பங்கள் எர்த் பாக்ஸியாவின் செயல்பாடுகளுடன் ஒற்றுமையைப் பகிர்ந்து கொண்டாலும், இந்த ஒன்றுடன் ஒன்று தொடர்புடையது பின்வருவனவற்றைக் குறிக்கலாம் என்று நிபுணர்கள் எச்சரிக்கின்றனர்:

• பூமி பாக்ஸியாவின் நேரடி ஈடுபாடு.

• எர்த் பாக்ஸியாவைப் பின்பற்ற வடிவமைக்கப்பட்ட ஒரு தவறான கொடி செயல்பாடு.

• இதேபோன்ற தந்திரோபாயங்களை சுயாதீனமாக உருவாக்கும் ஒரு புதிய குழு.

பகிரப்பட்ட உள்கட்டமைப்பு அல்லது நிலையான இலக்கு முறைகள் போன்ற தெளிவான சான்றுகள் இல்லாமல், இணைப்பு ஊகமாகவே உள்ளது.

சைபர் குற்றங்கள் மற்றும் தேசிய-மாநில தந்திரோபாயங்களின் வளர்ந்து வரும் ஒருங்கிணைப்பு

இந்த சம்பவம் ஒரு கவலைக்குரிய போக்கை அடிக்கோடிட்டுக் காட்டுகிறது: ransomware குழுக்கள் ஊடுருவல் மற்றும் ஏய்ப்புக்கு APT-தர முறைகளை அதிகளவில் பின்பற்றுகின்றன. ransomware குறியாக்கத்தின் உடனடி நிதி மற்றும் செயல்பாட்டு சேதத்துடன் திருட்டுத்தனமான வர்த்தகத்தின் கலவையானது இலக்கு வைக்கப்பட்ட நிறுவனங்களுக்கான பங்குகளை கணிசமாக உயர்த்துகிறது.