Charon Ransomware

మధ్యప్రాచ్యంలోని ప్రభుత్వ రంగం మరియు విమానయాన పరిశ్రమను లక్ష్యంగా చేసుకుని, గతంలో తెలియని చారోన్ అనే రాన్సమ్‌వేర్ జాతిని ఉపయోగించి కొత్త రాన్సమ్‌వేర్ ప్రచారాన్ని సైబర్ భద్రతా నిపుణులు కనుగొన్నారు. ఈ ఆపరేషన్ అధిక స్థాయి అధునాతనతను ప్రదర్శిస్తుంది, వ్యూహాలు సాధారణంగా అధునాతన నిరంతర ముప్పు (APT) నటులతో ముడిపడి ఉంటాయి.

APT ప్లేబుక్స్ నుండి అరువు వ్యూహాలు

దాడి చేసిన వారు DLL సైడ్-లోడింగ్, ప్రాసెస్ ఇంజెక్షన్ మరియు ఎండ్‌పాయింట్ డిటెక్షన్ మరియు రెస్పాన్స్ (EDR) సాధనాలను దాటవేయడానికి రూపొందించిన తప్పించుకునే యుక్తులు వంటి అధునాతన పద్ధతులను ఉపయోగించారు. ముఖ్యంగా, DLL సైడ్-లోడింగ్ విధానం తైవాన్ మరియు ఆసియా-పసిఫిక్ ప్రాంతంలోని ప్రభుత్వ సంస్థలను లక్ష్యంగా చేసుకునేందుకు ప్రసిద్ధి చెందిన చైనా-సంబంధిత హ్యాకింగ్ గ్రూప్ ఎర్త్ బాక్సియ దాడులలో గమనించిన పద్ధతులను ప్రతిబింబిస్తుంది.

ఆ గత సంఘటనలలో, Earth Baxia, EAGLEDOOR అనే బ్యాక్‌డోర్‌ను అందించడానికి OSGeo GeoServer GeoToolsలో ఇప్పుడు ప్యాచ్ చేయబడిన లోపాన్ని ఉపయోగించుకుంది. Charon కేసులో, దాడి SWORDLDR అని పిలువబడే హానికరమైన msedge.dllని లోడ్ చేయడానికి చట్టబద్ధమైన ఫైల్, Edge.exe (వాస్తవానికి cookie_exporter.exe)ని ఉపయోగించింది, ఇది తరువాత Charon ransomware పేలోడ్‌ను అమలు చేసింది.

కేరోన్ రాన్సమ్‌వేర్ సామర్థ్యాలు

ఒకసారి అమలు చేయబడిన తర్వాత, కేరోన్ ఇతర విధ్వంసక రాన్సమ్‌వేర్ వేరియంట్‌ల మాదిరిగానే ప్రవర్తిస్తుంది, కానీ ఆప్టిమైజేషన్‌లతో దీనిని అంతరాయం కలిగించే మరియు సమర్థవంతంగా చేస్తుంది. ఇది వీటిని చేయగలదు:

• భద్రతా సంబంధిత సేవలు మరియు క్రియాశీల ప్రక్రియలను ముగించండి.
• రికవరీని అడ్డుకోవడానికి బ్యాకప్‌లు మరియు షాడో కాపీలను తొలగించండి.
• వేగవంతమైన ఫైల్-లాకింగ్ కోసం మల్టీథ్రెడింగ్ మరియు పాక్షిక ఎన్‌క్రిప్షన్‌ను ఉపయోగించండి.

మరో ఆసక్తికరమైన లక్షణం ఏమిటంటే ఓపెన్-సోర్స్ డార్క్-కిల్ ప్రాజెక్ట్ నుండి సంకలనం చేయబడిన డ్రైవర్‌ను ఇందులో చేర్చడం. ఇది EDR సాధనాలను నిలిపివేయడానికి మీ స్వంత దుర్బల డ్రైవర్ (BYOVD) దాడిని తీసుకురండి. అయితే, ఈ సామర్థ్యం ఇంకా యాక్టివ్‌గా లేదని, ఇది ఇంకా అభివృద్ధిలో ఉందని పరిశోధకులు కనుగొన్నారు.

లక్ష్యంగా చేసుకున్న ఆపరేషన్ యొక్క సంకేతాలు

ఈ ప్రచారం అవకాశవాదం కాకుండా ఉద్దేశపూర్వకంగా జరిగిందని పరిశోధకులు భావిస్తున్నారు. బాధిత సంస్థ పేరును పేర్కొనడానికి అనుకూలీకరించబడిన రాన్సమ్ నోట్ ఉండటం ఆధారంగా ఈ ముగింపు వచ్చింది, ఇది సాధారణ రాన్సమ్వేర్ సంఘటనలలో చాలా అరుదు. ప్రారంభ యాక్సెస్ కోసం ఉపయోగించే పద్ధతి ఇంకా తెలియదు.

అనిశ్చిత లక్షణం

కేరోన్ యొక్క పద్ధతులు ఎర్త్ బాక్సియ కార్యకలాపాలతో సారూప్యతలను పంచుకున్నప్పటికీ, నిపుణులు ఈ అతివ్యాప్తి సూచించవచ్చని హెచ్చరిస్తున్నారు:

• భూమి బాక్సియ ప్రత్యక్ష ప్రమేయం.

• ఎర్త్ బాక్సియాను అనుకరించడానికి రూపొందించబడిన ఒక తప్పుడు ఫ్లాగ్ ఆపరేషన్.

• స్వతంత్రంగా ఇలాంటి వ్యూహాలను అభివృద్ధి చేస్తున్న కొత్త సమూహం.

భాగస్వామ్య మౌలిక సదుపాయాలు లేదా స్థిరమైన లక్ష్య నమూనాలు వంటి స్పష్టమైన ఆధారాలు లేకుండా, కనెక్షన్ ఊహాజనితంగానే ఉంది.

సైబర్ నేరాలు మరియు దేశ-రాష్ట్ర వ్యూహాల కలయిక పెరుగుతోంది.

ఈ సంఘటన ఆందోళనకరమైన ధోరణిని నొక్కి చెబుతుంది: రాన్సమ్వేర్ గ్రూపులు చొరబాటు మరియు ఎగవేత కోసం APT-గ్రేడ్ పద్ధతులను ఎక్కువగా అవలంబిస్తున్నాయి. రాన్సమ్వేర్ ఎన్క్రిప్షన్ యొక్క తక్షణ ఆర్థిక మరియు కార్యాచరణ నష్టంతో రహస్య ట్రేడ్‌క్రాఫ్ట్ మిశ్రమం లక్ష్యంగా ఉన్న సంస్థలకు వాటాలను గణనీయంగా పెంచుతుంది.