Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Ransomware Ransomware Charon

Ransomware Charon

Por Mezo en Ransomware, Amenaza persistente avanzada (APT)
Traducir a:

Expertos en ciberseguridad han descubierto una nueva campaña de ransomware que aprovecha una cepa previamente desconocida llamada Charon, dirigida específicamente al sector público y a la industria aeronáutica en Oriente Medio. La operación muestra un alto nivel de sofisticación, con tácticas típicamente asociadas con actores de amenazas persistentes avanzadas (APT).

Tomando prestadas tácticas de los manuales de APT

Los atacantes emplearon técnicas avanzadas como la carga lateral de DLL, la inyección de procesos y maniobras evasivas diseñadas para eludir las herramientas de detección y respuesta de endpoints (EDR). Cabe destacar que el enfoque de carga lateral de DLL refleja los métodos observados en los ataques de Earth Baxia, un grupo de hackers vinculado a China conocido por atacar a entidades gubernamentales en Taiwán y la región Asia-Pacífico.

En incidentes anteriores, Earth Baxia explotó una falla, ya corregida, en OSGeo GeoServer GeoTools para instalar una puerta trasera llamada EAGLEDOOR. En el caso de Charon, el ataque utilizó un archivo legítimo, Edge.exe (originalmente cookie_exporter.exe), para cargar un archivo msedge.dll malicioso conocido como SWORDLDR, que posteriormente desplegó la carga útil del ransomware Charon.

Capacidades del ransomware Charon

Una vez implementado, Charon se comporta como otras variantes destructivas de ransomware, pero con optimizaciones que lo hacen disruptivo y eficiente. Puede:

  • Terminar servicios relacionados con la seguridad y procesos activos.
  • Eliminar copias de seguridad y copias de seguridad para dificultar la recuperación.
  • Utilice subprocesos múltiples y cifrado parcial para un bloqueo de archivos más rápido.

Otra característica interesante es la incorporación de un controlador compilado a partir del proyecto de código abierto Dark-Kill. Esto permite un ataque de "traiga su propio controlador vulnerable" (BYOVD) para desactivar las herramientas EDR. Sin embargo, los investigadores descubrieron que esta capacidad aún no está activa, lo que sugiere que aún está en desarrollo.

Señales de una operación dirigida

Los investigadores creen que esta campaña fue deliberada y no oportunista. Esta conclusión se basa en la presencia de una nota de rescate personalizada que menciona el nombre de la organización víctima, algo poco común en los incidentes típicos de ransomware. Se desconoce el método de acceso inicial.

Atribución incierta

Si bien las técnicas de Caronte comparten similitudes con las operaciones de Baxia en la Tierra, los expertos advierten que esta superposición podría indicar:

  • Participación directa de la Tierra Baxia.
  • Una operación de falsa bandera diseñada para imitar a la Tierra Baxia.
  • Un nuevo grupo que desarrolla tácticas similares de forma independiente.

Sin evidencia clara, como una infraestructura compartida o patrones de orientación consistentes, la conexión sigue siendo especulativa.

La creciente convergencia de los delitos cibernéticos y las tácticas de los Estados-nación

Este incidente pone de relieve una tendencia preocupante: los grupos de ransomware adoptan cada vez más métodos de tipo APT para intrusión y evasión. La combinación de técnicas sigilosas con el daño financiero y operativo inmediato que supone el cifrado de ransomware aumenta considerablemente el riesgo para las organizaciones atacadas.

Artículos Relacionados

Tendencias

Mas Visto

Cargando...