Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Ransomware Charon Ransomware

Charon Ransomware

Von Mezo in Ransomware, Erweiterte, anhaltende Bedrohung (APT)
Übersetzen Sie in:

Cybersicherheitsexperten haben eine neue Ransomware-Kampagne aufgedeckt, die sich einen bisher unbekannten Stamm namens Charon zunutze macht und sich speziell gegen den öffentlichen Sektor und die Luftfahrtindustrie im Nahen Osten richtet. Die Operation ist äußerst raffiniert und verwendet Taktiken, die typischerweise mit Advanced Persistent Threats (APT) in Verbindung gebracht werden.

Übernahme von Taktiken aus APT-Playbooks

Die Angreifer nutzten fortschrittliche Techniken wie DLL-Sideloading, Prozessinjektion und Ausweichmanöver, um Tools zur Endpoint Detection and Response (EDR) zu umgehen. Der DLL-Sideloading-Ansatz ähnelt Methoden, die bei Angriffen von Earth Baxia beobachtet wurden, einer mit China verbundenen Hackergruppe, die dafür bekannt ist, staatliche Einrichtungen in Taiwan und im asiatisch-pazifischen Raum anzugreifen.

Bei diesen früheren Vorfällen nutzte Earth Baxia eine inzwischen behobene Schwachstelle in OSGeo GeoServer GeoTools aus, um eine Hintertür namens EAGLEDOOR einzuschleusen. Im Fall Charon nutzte der Angriff die legitime Datei Edge.exe (ursprünglich cookie_exporter.exe), um eine bösartige msedge.dll namens SWORDLDR zu laden, die dann die Charon-Ransomware-Nutzlast ausbrachte.

Fähigkeiten der Charon Ransomware

Nach der Implementierung verhält sich Charon wie andere zerstörerische Ransomware-Varianten, verfügt jedoch über Optimierungen, die es sowohl störend als auch effizient machen. Es kann:

  • Beenden Sie sicherheitsrelevante Dienste und aktive Prozesse.
  • Löschen Sie Backups und Schattenkopien, um die Wiederherstellung zu erschweren.
  • Verwenden Sie Multithreading und teilweise Verschlüsselung für eine schnellere Dateisperre.

Ein weiteres interessantes Feature ist die Integration eines Treibers, der aus dem Open-Source-Projekt Dark-Kill kompiliert wurde. Dieser ermöglicht einen BYOVD-Angriff (Bring Your Own Vulnerable Driver), um EDR-Tools zu deaktivieren. Forscher fanden jedoch heraus, dass diese Funktion noch nicht aktiv ist, was darauf hindeutet, dass sie sich noch in der Entwicklung befindet.

Anzeichen einer gezielten Operation

Die Ermittler gehen davon aus, dass diese Kampagne eher vorsätzlich als opportunistisch war. Diese Schlussfolgerung basiert auf dem Vorhandensein einer Lösegeldforderung, in der die betroffene Organisation namentlich erwähnt wurde – eine Seltenheit bei typischen Ransomware-Vorfällen. Die Methode für den ersten Zugriff ist unbekannt.

Unsichere Zuordnung

Obwohl die Techniken von Charon Ähnlichkeiten mit denen der Erde Baxia aufweisen, weisen Experten darauf hin, dass diese Überschneidungen auf Folgendes hindeuten könnten:

  • Direkte Beteiligung von Earth Baxia.
  • Eine Operation unter falscher Flagge, die darauf abzielt, die Erde Baxia zu imitieren.
  • Eine neue Gruppe entwickelt unabhängig voneinander ähnliche Taktiken.

    • Ohne klare Beweise wie eine gemeinsame Infrastruktur oder konsistente Zielmuster bleibt der Zusammenhang spekulativ.

    Die zunehmende Konvergenz von Cyberkriminalität und nationalstaatlichen Taktiken

    Dieser Vorfall unterstreicht einen besorgniserregenden Trend: Ransomware-Gruppen nutzen zunehmend APT-basierte Methoden für Eindringlinge und Umgehungsversuche. Die Kombination aus heimlicher Taktik und dem unmittelbaren finanziellen und operativen Schaden durch Ransomware-Verschlüsselung erhöht das Risiko für betroffene Organisationen erheblich.

    Im Trend

    Am häufigsten gesehen

    Wird geladen...