Charon utilise des charges utiles cryptées et des binaires de confiance pour contourner les défenses de l’EDR, marquant une évolution vers des campagnes de ransomware plus furtives et plus persistantes.
Trend Micro a identifié une nouvelle souche de ransomware, Charon, qui est déployée dans des attaques très ciblées contre des entités aéronautiques et du secteur public au Moyen-Orient.
Contrairement aux ransomwares conventionnels, Charon exploite des techniques avancées de la menace persistante (APT), telles que l’élevage de la DLL, l’injection de processus et l’évasion de sécurité des terminaux, pour infiltrer les systèmes, désactiver les défenses et offrir des demandes de ransomes personnalisées. La précision et la furtivité de la campagne ont fait des comparaisons avec les cyber-opérations parrainées par l’État, les experts avertissant que le ransomware entre dans une nouvelle phase de sophistication.
Selon l’analyse de Trend Micro, les attaquants ont déployé la charge de touche de la DLL pour livrer la charge utile des ransomwares de Charon. L’intrusion a commencé avec l’exécution d’un binaire Edge.exe légitime, qui a été exploité pour écouter un fichier DLL malveillant nommé Mmedge.dll, également appelé SwordLDR. Ce chargeur a déchiffré la charge utile des ransomwares intégrés et l’a injecté dans un processus svchost.exe nouvellement engendré. Cela a permis aux logiciels malveillants de se faire passer pour un service Windows légitime et de contourner les contrôles de sécurité des points de terminaison.
« Charon représente la prochaine génération de ransomwares, mélangeant la furtivité, la précision et la persistance que nous associons généralement à des campagnes APT parrainées par l’État », a déclaré Jaspreet Bindra, co-fondateur chez AI & Beyond. «Contrairement à des ransomwares conventionnels qui cryptent simplement les fichiers et exigent le paiement, Charon fonctionne patiemment et méthodique.
La note de rançon a été personnalisée pour inclure le nom de l’organisation victime, soulignant la nature ciblée de la campagne plutôt qu’une large attaque opportuniste, a reconnu Trend Micro.
«Le ransomware de Charon montre comment les techniques de niveau appropriées sont désormais exploitées dans les attaques de ransomwares, augmentant considérablement la menace pour les secteurs critiques tels que l’aviation, les soins de santé, le BFSI et les services publics. De plus, des notes de rançon personnalisées adaptées à chaque victime soulèvent davantage la pression psychologique sur les organisations ciblées», a déclaré Amit Jaju, directeur général principal – Inde – India à Ankura Consulting.
Poste de baxia de terre possible
L’analyse de Trend Micro a révélé des similitudes techniques entre les méthodes et les tactiques de Charon précédemment utilisées par le groupe Earth Baxia, un acteur de menace connu pour cibler les secteurs gouvernementaux. Bien que l’entreprise ne puisse pas relier de manière concluante Charon à Earth Baxia, elle a noté un chevauchement dans l’utilisation de la même chaîne d’outils binaires / DLL pour la livraison de codes de coquille cryptée. Cela suggère une implication directe possible, une imitation délibérée ou un développement indépendant de techniques similaires.
L’incident de Charon souligne un risque croissant pour les entreprises, car les opérateurs de ransomwares adoptent de plus en plus des tactiques de niveau APT. Bien que l’élevage DLL soit une technique courante, elle a été implémentée à l’aide de chaînes d’outils correspondantes et de livraison de charge utile cryptée. Cette évolution signifie que les organisations doivent durcir les défenses contre les menaces qui mélangent désormais l’intention criminelle avec les techniques de qualité apte.
«Les techniques APT sont des systèmes sophistiqués et systématiquement infiltrant en charges de logiciels malveillants cryptées silencieusement.
Shah a ajouté que les acteurs de la menace exploitent souvent des vulnérabilités communes, telles que le manque d’authentification multi-facteurs (MFA), l’absence d’un modèle de sécurité de confiance zéro ou un contrôle accès médiocre. Bien que la lutte contre ces faiblesses soit fondamentale, l’hygiène de sécurité de base n’est pas négociable. Cela comprend l’application des politiques de conformité plus fortes qui limitent les exécutables qui peuvent exécuter et charger les DLL, bloquer les tentatives d’élevés de touche et améliorer l’hygiène des politiques d’accès et de privilège.
Les experts pensent que les CISO devraient repenser leurs stratégies de détection, de prévention et de réponse des ransomwares.
«Les CISO devraient contrer les ransomwares de style apt comme Charon avec une liste d’autorisation binaire stricte pour bloquer les charges de DLL non standard, la détection comportementale pour l’injection de processus et les décryptions suspectes même à partir de binaires de confiance, et les défenses en couches combinant EDR, XDR, Huntings de menace et surveillance de l’anomalie», a déclaré Pareekh Jain, CEO à EiirTrend & PAREEKH. Ils doivent également renforcer l’audit et la télémétrie pour signaler des fichiers, des conducteurs ou des modifications de chaîne de confiance, et exécuter des exercices d’attaque ciblée simulant les tactiques de Charon pour assurer une récupération rapide et une segmentation efficace du réseau.
Pour contrer ces menaces, les organisations devraient également renforcer les défenses contre les attaques de conducteur vulnérable (BYOVD), les environnements de réseau de segments pour contenir des compromis potentiels, mettre en œuvre une application stricte permettant une liste et maintenir des sauvegardes immuables hors ligne pour assurer la récupérabilité, ajouter Jaju. De plus, les efforts de détection devraient se concentrer sur l’identification des techniques de téléchargement de DLL et des modèles d’activité de cryptage multi-thread pour découvrir et répondre à des menaces de ransomware en évolution comme Charon.
En juillet, Trend Micro avait suivi Bert, un autre groupe de ransomwares ciblant les secteurs d’infrastructures critiques, y compris les services de santé, de technologie et d’événements, en Asie, en Europe et aux États-Unis.
