Siber güvenlik araştırmacıları, Orta Doğu’nun kamu sektörünü ve havacılık endüstrisini hedeflemek için Charon adlı daha önce belgelenmemiş bir fidye yazılımı ailesi kullanan yeni bir kampanya keşfettiler.
Trend Micro’ya göre, etkinliğin arkasındaki tehdit oyuncusu, DLL yan yükleme, süreç enjeksiyonu ve uç nokta tespiti ve yanıt (EDR) yazılımından kaçınma yeteneği gibi gelişmiş kalıcı tehdit (APT) gruplarının yansıtılmasını yansıttı.
DLL yan yükleme teknikleri, daha önce siber güvenlik şirketi tarafından Tayvan ve Asya-Pasifik bölgesindeki hükümet kuruluşlarını hedefleyen bir arka kapıyı yerine getiren bir arka kapıyı teslim etmek için işaretlenen, Çin bağlantılı bir hack grubu tarafından düzenlenen saldırıların bir parçası olarak belgelenenlere benzemektedir.
Jacob Santos, Ted Lee, Don Ovid Ladore, “Saldırı zinciri, meşru bir tarayıcı ile ilgili bir dosya ile ilgili bir dosya olan Edge.exe’den (başlangıçta Cookie_exporter.exe olarak adlandırılır) (başlangıçta Cookie_exporter.exe olarak adlandırılır), daha sonra Charon fidye yazılımı yükünü (SwordlDR) (Swordldr) kaldırdı.”
Diğer fidye yazılımı ikili dosyaları gibi, Charon da güvenlik ile ilgili hizmetleri ve çalıştırma süreçlerini sonlandıran ve gölge kopyalarını ve yedeklemelerini silen yıkıcı eylemler yapabilir, böylece kurtarma şansını en aza indirir. Ayrıca, dosya kilitleme rutini daha hızlı ve daha verimli hale getirmek için çok işlevli ve kısmi şifreleme teknikleri kullanır.
Fidye yazılımının bir diğer dikkat çekici yönü, kendi savunmasız sürücü (BYOVD) saldırınızı getirme olarak adlandırılan EDR çözümlerini devre dışı bırakmak için açık kaynaklı karanlık öldürme projesinden derlenen bir sürücünün kullanılmasıdır. Bununla birlikte, bu işlevin yürütme sırasında asla tetiklenmemesi, özelliğin muhtemelen geliştirildiğini düşündürmektedir.
Kampanyanın fırsatçı olmaktan ziyade hedeflendiğini gösteren kanıtlar var. Bu, geleneksel fidye yazılımı saldırılarında gözlemlenmeyen bir taktik olan kurban organizasyonunu ismiyle çağıran özelleştirilmiş bir fidye notunun kullanımından kaynaklanmaktadır. Şu anda ilk erişimin nasıl elde edildiği bilinmemektedir.
Dünya Baxia ile teknik çakışmalara rağmen, Trend Micro bunun üç şeyden biri anlamına gelebileceğini vurguladı –
- Dünya Baxia’nın doğrudan katılımı
- Dünya Baxia’nın Tradecraft’ı kasıtlı olarak taklit etmek için tasarlanmış sahte bir bayrak operasyonu veya
- Bağımsız olarak benzer taktikleri geliştiren yeni bir tehdit oyuncusu
Trend Micro, “Paylaşılan altyapı veya tutarlı hedefleme kalıpları gibi kanıtları doğrulamadan, bu saldırının bilinen Dünya Baxia operasyonlarıyla sınırlı ama dikkate değer teknik yakınsama gösterdiğini değerlendiriyoruz.”
Atıftan bağımsız olarak, bulgular fidye yazılımı operatörlerinin devam eden eğilimini, kötü amaçlı yazılım dağıtım ve savunma kaçakçılığı için giderek daha fazla benimsemeyi, siber suç ve ulus-devlet faaliyeti arasındaki çizgileri daha da bulanıklaştırmayı örneklemektedir.
Araştırmacılar, “APT taktiklerinin fidye yazılımı operasyonları ile bu yakınsaması, sofistike kaçış tekniklerini fidye yazılımı şifrelemesinin acil iş etkisi ile birleştirerek kuruluşlar için yüksek bir risk oluşturmaktadır.”
Açıklama, Esentire, PHP tabanlı bir arka kapıyı bırakmak için ClickFix cazibesini kaldıran bir kilit fidye yazılımı kampanyası olarak gelir, bu da Nodesnake (diğer adaya), kimlik hırsızlığı ve C-tabanlı bir implant için nodesnake (diğer aday gösterim), daha fazla keşif ve ransomware konuşlandırması için saldırgan tarafından sağlanan komutları destekleyen C-tabanlı bir implant.
Kanada şirketi, “Interlock Group, PowerShell komut dosyaları, PHP/NodeJS/C arka kapılarını içeren karmaşık bir çok aşamalı süreç kullanıyor ve şüpheli süreç etkinliğini, lolbins ve diğer TTP’leri izlemenin önemini vurguluyor.” Dedi.
Bulgular, kurbanlar sistemlere erişimi hızlı bir şekilde kurtarmak için fidye ödemeye devam etse bile, fidye yazılımının gelişen bir tehdit olmaya devam ettiğini göstermektedir. Siber suçlular ise kurbanlara baskı yapmanın bir yolu olarak fiziksel tehditlere ve DDOS saldırılarına başvurmaya başladı.
Barracuda tarafından paylaşılan istatistikler, kuruluşların% 57’sinin son 12 ay içinde başarılı bir fidye yazılımı saldırısı yaşadığını ve bunun% 71’inin fidye yazılımı ile vurulduğunu gösteriyor. Dahası,% 32’si fidye ödedi, ancak kurbanların sadece% 41’i tüm verilerini geri aldı.