Pesquisadores de cibersegurança descobriram uma nova campanha que utiliza uma família de ransomware anteriormente não documentada, chamada Charon, para atacar o setor público e a indústria da aviação no Oriente Médio.
O ator de ameaças por trás da atividade, segundo a Trend Micro, exibiu táticas que espelham as de grupos de ameaças persistentes avançadas (Advanced Persistent Threat - APT), como DLL side-loading, injeção de processo e a capacidade de evadir o software de detecção e resposta de endpoint (Endpoint Detection and Response - EDR).
As técnicas de DLL side-loading se assemelham às anteriormente documentadas como parte de ataques orquestrados por um grupo de hackers vinculado à China chamado Earth Baxia, que foi sinalizado pela empresa de cibersegurança como alvo de entidades governamentais em Taiwan e na região da Ásia-Pacífico para entregar um backdoor conhecido como EAGLEDOOR após a exploração de uma falha de segurança agora corrigida que afetava o OSGeo GeoServer GeoTools.
"A cadeia de ataque utilizou um arquivo legítimo relacionado ao navegador, Edge.exe (originalmente nomeado cookie_exporter.exe), para side-load de um msedge.dll malicioso (SWORDLDR), que subsequentemente implantou o payload útil do ransomware Charon," disseram os pesquisadores Jacob Santos, Ted Lee, Ahmed Kamal e Don Ovid Ladore.
Como outros binários de ransomware, o Charon é capaz de ações disruptivas que terminam serviços e processos relacionados à segurança, bem como deletam cópias de sombra e backups, minimizando assim as chances de recuperação.
Ele também emprega técnicas de multithreading e criptografia parcial para tornar a rotina de bloqueio de arquivo mais rápida e eficiente.
Outro aspecto notável do ransomware é o uso de um driver compilado a partir do projeto de código aberto Dark-Kill para desabilitar soluções EDR por meio do que é chamado de ataque bring your own vulnerable driver (BYOVD).
No entanto, essa funcionalidade nunca é acionada durante a execução, sugerindo que o recurso provavelmente está em desenvolvimento.
Há evidências que sugerem que a campanha foi direcionada em vez de oportunista.
Isso decorre do uso de uma nota de resgate personalizada que chama especificamente a organização vítima pelo nome, uma tática não observada em ataques tradicionais de ransomware.
Atualmente, não se sabe como o acesso inicial foi obtido.
Apesar das sobreposições técnicas com o Earth Baxia, a Trend Micro enfatizou que isso pode significar uma de três coisas:
Envolvimento direto do Earth Baxia:
Uma operação de falsa bandeira projetada para imitar deliberadamente a perícia do Earth Baxia, ou
Um novo ator de ameaça que desenvolveu táticas semelhantes de forma independente
"Sem evidências corroborantes, como infraestrutura compartilhada ou padrões de segmentação consistentes, avaliamos que este ataque demonstra uma convergência técnica limitada, mas notável com as operações conhecidas do Earth Baxia," apontou a Trend Micro.
Independentemente da atribuição, os achados exemplificam a tendência contínua dos operadores de ransomware de adotar métodos sofisticados para implantação de malware e evasão de defesa, turvando ainda mais as linhas entre o cibercrime e a atividade de Estado-nação.
"Esta convergência de táticas APT com operações de ransomware representa um risco elevado para as organizações, combinando técnicas sofisticadas de evasão com o impacto imediato nos negócios da criptografia de ransomware," concluíram os pesquisadores.
A divulgação ocorre enquanto a eSentire detalhou uma campanha de ransomware Interlock que aproveitou iscas ClickFix para soltar um backdoor baseado em PHP que, por sua vez, implanta o NodeSnake (conhecido como Interlock RAT) para roubo de credenciais e um implante baseado em C que suporta comandos fornecidos pelo atacante para reconhecimento adicional e implantação de ransomware.
"O Grupo Interlock emprega um processo multi-estágio complexo envolvendo scripts do PowerShell, backdoors PHP/NodeJS/C, destacando a importância de monitorar atividades suspeitas de processo, LOLBins e outros TTPs," disse a empresa canadense.
Os achados mostram que o ransomware continua sendo uma ameaça em evolução, mesmo enquanto as vítimas continuam a pagar resgates para recuperar rapidamente o acesso aos sistemas.
Os cibercriminosos, por outro lado, começaram a recorrer a ameaças físicas e ataques DDoS como uma forma de pressionar as vítimas.
Estatísticas compartilhadas pela Barracuda mostram que 57% das organizações sofreram um ataque de ransomware bem-sucedido nos últimos 12 meses, dos quais 71% que sofreram uma violação de e-mail também foram atingidos por ransomware.
Além disso, 32% pagaram um resgate, mas apenas 41% das vítimas recuperaram todos os seus dados.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...