Los investigadores de ciberseguridad han descubierto una nueva campaña para adoptar una familia de ransomware previamente indocumentada llamada Charon para atacar al sector público y a la industria de la aviación en el Medio Oriente.
Según Trend Micro, los actores de amenaza detrás de la actividad demostraron tácticas que reflejaron las tácticas de los grupos avanzados de amenaza persistente (APT), incluida la respuesta lateral de DLL, la inyección de procesos y la capacidad de evitar el software de detección y respuesta de puntos finales (EDR).
La tecnología DLL Sideloting es similar a la documentada anteriormente, y fue marcada por compañías de seguridad cibernética para proporcionar puertas de Back-RU conocidas como puerta de Eagle después de la explotación de Eagle Door, que ahora ha afectado a las geobos de seguridad de estilo parche, dirigida por ranas aburridas y agencias gubernamentales en la región de Asia-Pacífico.
«La cadena de ataque utilizó el archivo legal relacionado con el navegador Edge.exe (originalmente llamado Cookie_Exporter.exe) para eliminar el malicioso msedge.dll (sordLDR).
Al igual que otros binarios de ransomware, Charon puede eliminar acciones destructivas que terminan los servicios relacionados con la seguridad y los procesos de ejecución, así como copias y copias de seguridad en la sombra, minimizando así las posibilidades de recuperación. También emplea técnicas de cifrado de múltiples subprocesos y parciales para hacer que las rutinas de bloqueo de archivos sean más rápidas y eficientes.
Otro aspecto notable del ransomware es el uso de controladores editados desde el proyecto Open Source Dark Kill, deshabilitando la solución EDR por lo que se llama el ataque vulnerable (BYOVD) de Train Your Own. Sin embargo, esta característica no se activa durante la ejecución, lo que sugiere que es probable que la característica esté en desarrollo.
Hay evidencia que sugiere que la campaña fue atacada en lugar de oportunista. Esto se debe al uso de notas de rescate personalizadas que invocan específicamente a las organizaciones de víctimas con nombres, una táctica no observada en los ataques tradicionales de ransomware. Actualmente, no sé cómo se obtuvo el acceso inicial.
A pesar de la superposición técnica con EarthBaxia, Trend Micro destacó que esto podría significar una de las tres cosas,
Una manipulación de bandera falsa diseñada para imitar intencionalmente la participación directa de la Tierra Baxia en el comercio de la Tierra Baxia, o un nuevo actor de amenaza desarrolló independientemente tácticas similares.
«Sin apoyar la evidencia de infraestructura compartida o patrones de orientación consistentes, este ataque muestra una convergencia técnica limitada pero pronunciada con operaciones conocidas de Baxia de la Tierra», señaló Trend Micro.
Independientemente de la atribución, los hallazgos ejemplifican las tendencias continuas de los operadores de ransomware, empleando cada vez más métodos sofisticados de despliegue y defensa de malware, difuminando aún más la línea entre el delito cibernético y la actividad en estado-nación.
«La convergencia de tácticas adecuadas con operaciones de ransomware crea un mayor riesgo para las organizaciones, combinando técnicas de evitación sofisticadas con el impacto comercial inmediato del cifrado de ransomware», concluyeron los investigadores.
Esta divulgación se produce cuando Esentire detalla una campaña de ransomware entrelazado que aprovecha los señuelos de ClickFix para soltar las puertas traseras basadas en PHP.
«Interlock Group emplea procesos complejos de múltiples etapas, incluidas las secuencias de comandos PowerShell, PHP/NodeJS/C, destacando la importancia de monitorear las actividades de procesos sospechosos, LOLBins y otros TTP», dijo la compañía canadiense.
Los hallazgos muestran que el ransomware es una amenaza en evolución, a pesar de que las víctimas continúan pagando rescates para restaurar rápidamente el acceso a sus sistemas. Mientras tanto, los ciberdelincuentes comienzan a confiar en amenazas físicas y ataques DDoS como formas de presionar a las víctimas.
Según las estadísticas compartidas por Barracuda, el 57% de las organizaciones han experimentado ataques de ransomware exitosos en los últimos 12 meses, de los cuales el 71% también ha experimentado una violación por correo electrónico. Además, el 32% pagó el rescate, mientras que solo el 41% de las víctimas revirtieron todos sus datos.
Source link
