Los investigadores de ciberseguridad han descubierto una nueva campaña que emplea a una familia de ransomware previamente indocumentada llamada Charon para atacar al sector público y a la industria de aviación del Medio Oriente.
El actor de amenaza detrás de la actividad, según Trend Micro, exhibió tácticas que reflejan las de grupos avanzados de amenaza persistente (APT), como la carga lateral de DLL, la inyección de procesos y la capacidad de evadir el software de detección y respuesta de puntos finales (EDR).
Las técnicas de carga lateral de DLL se asemejan a las documentadas previamente como parte de los ataques orquestados por un grupo de piratería vinculado a China llamado Earth Baxia, que fue marcado por la compañía de seguridad cibernética como entidades gubernamentales en Taiwán y la región de Asia y el Pacífico para entregar un backdoor conocido como Eaagledoor, después de la explosión de una flaw de seguridad ahora apunta a Osgeo, que afecta a OsgeooLereol.
«La cadena de ataque aprovechó un archivo legítimo relacionado con el navegador, Edge.exe (originalmente llamado Cookie_Exporter.exe), a un msedge.dll malicioso (SwordDLDR), que posteriormente desplegó la carga útil de Charon Ransomware», dijeron los investigadores Jacob Santos, Ted Lee, Ahmed Kamal y Don Ladore.
Al igual que otros binarios de ransomware, Charon es capaz de acciones disruptivas que terminan los servicios relacionados con la seguridad y los procesos de ejecución, así como eliminar copias y copias de seguridad de la sombra, minimizando así las posibilidades de recuperación. También emplea técnicas de cifrado múltiple y de cifrado parcial para que la rutina de bloqueo de archivos sea más rápido y más eficiente.
Otro aspecto notable del ransomware es el uso de un controlador compilado del proyecto de matanza oscura de código abierto para deshabilitar las soluciones EDR por medio de lo que se llama traer su propio ataque vulnerable (BYOVD). Sin embargo, esta funcionalidad nunca se desencadena durante la ejecución, lo que sugiere que la característica probablemente esté en desarrollo.
Hay evidencia que sugiere que la campaña fue atacada en lugar de oportunista. Esto se deriva del uso de una nota de rescate personalizada que llama específicamente a la organización de víctimas por su nombre, una táctica no observada en los ataques tradicionales de ransomware. Actualmente no se sabe cómo se obtuvo el acceso inicial.
A pesar de las superposiciones técnicas con la Tierra Baxia, Trend Micro ha enfatizado que esto podría significar una de las tres cosas,
- Participación directa de la tierra Baxia
- Una operación de bandera falsa diseñada para imitar deliberadamente la artesanía de la tierra de Baxia, o
- Un nuevo actor de amenaza que ha desarrollado tácticas similares de forma independiente
«Sin corroborar evidencia como infraestructura compartida o patrones de orientación consistentes, evaluamos este ataque demuestra una convergencia técnica limitada pero notable con operaciones conocidas de Baxia de la Tierra», señaló Trend Micro.
Independientemente de la atribución, los hallazgos ejemplifican la tendencia continua de los operadores de ransomware que adoptan cada vez más métodos sofisticados para el despliegue de malware y la evasión de defensa, difuminando aún más las líneas entre el delito cibernético y la actividad en estado-nación.
«Esta convergencia de tácticas APT con operaciones de ransomware plantea un riesgo elevado para las organizaciones, combinando técnicas de evasión sofisticadas con el impacto comercial inmediato del cifrado de ransomware», concluyeron los investigadores.
La divulgación se produce cuando Esentire detalló una campaña de ransomware de enclavamiento que aprovechó los señuelos de ClickFix para soltar una puerta trasera basada en PHP que, a su vez, implementa Nodesnake (también conocido como Interlock Rat) para el robo de credenciales y un implante basado en C que admite comandos suplicados por los atacantes para una mayor reconocimiento y un despliegue de ransmane.
«Interlock Group emplea un complejo proceso de varias etapas que involucra scripts de PowerShell, puertas traseras PHP/NodeJS/C, destacando la importancia de monitorear la actividad sospechosa del proceso, LOLBins y otros TTP», dijo la compañía canadiense.
Los resultados muestran que el ransomware continúa siendo una amenaza en evolución, incluso cuando las víctimas continúan pagando rescates para recuperar rápidamente el acceso a los sistemas. Los cibercriminales, por otro lado, han comenzado a recurrir a amenazas físicas y ataques DDoS como una forma de presionar a las víctimas.
Las estadísticas compartidas por Barracuda muestran que el 57% de las organizaciones experimentaron un ataque de ransomware exitoso en los últimos 12 meses, de los cuales el 71% que había experimentado una violación por correo electrónico también se vio afectada con ransomware. Además, el 32% pagó un rescate, pero solo el 41% de las víctimas recuperaron todos sus datos.