محققان میکرو Development ، Charon Ransomware را شناسایی کرده اند ، یک خط تازه کشف شده که از تکنیک های پیشرفته به سبک تهدید مداوم استفاده می کند که قبلاً با آن همراه بود باکسی زمین گروه این کمپین بنگاه هایی را با تقاضای باج مناسب هدف قرار می دهد ، و نشانگر سطح بالایی از شناسایی و سفارشی سازی است که برای به حداکثر رساندن فشار بر قربانیان طراحی شده است. در یک حمله هدفمند علیه بخش دولتی خاورمیانه مستقر شد و صنعت حمل و نقل هواییمشخص شده است که کمپین Ransomware Charon یک ریسک تجاری قابل توجه را ایجاد می کند و منجر به اختلالات عملیاتی بالقوه ، از دست دادن داده ها و هزینه های مالی مرتبط با خرابی می شود. تاکتیک های اپراتور Ransomware می تواند داده های محلی و شبکه ای را به خطر بیاندازد و مانع از تلاش های بازیابی شود.
محققان خرد روند ، گفت: “این بازیگر تهدید از یک تکنیک جانبی DLL که از نزدیک شبیه به تاکتیک هایی است که قبلاً در کمپین های باکسی زمین ثبت شده بود ، که از لحاظ تاریخی روی نهادهای دولتی متمرکز شده اند ، استفاده کرد.” نوشته شده در یک پست تحقیقاتی سه شنبه. “در این حالت ، زنجیره حمله از یک پرونده مشروعیت مربوط به مرورگر ، Edge (DOT) Exe (که در ابتدا به نام Cookie_exporter.exe نامگذاری شده است) سوء استفاده کرد ، تا یک MSEDGE مخرب (DOT) (SWORDLDR) را کنار بگذارد.
آنها افزودند که یادداشت باج سفارشی Ransomware به طور خاص سازمان قربانی را با نام خود ارجاع می دهد ، تأیید می کند که این یک عملیات هدفمند است نه یک کمپین فرصت طلب. “این رویکرد هدفمند ، همراه با روش تشخیص متمایز DLL ، سؤالاتی را در مورد اتصالات احتمالی با باکسی زمین ایجاد می کند. در حالی که ما همپوشانی فنی را مشاهده می کنیم – به ویژه ابزار ابزار خاص استفاده از باینری با DLL برای استقرار پوسته رمزگذاری شده – ما نمی توانیم به طور قطعی این حمله را به زمین باکسیا نسبت دهیم.”
علاوه بر این ، تکنیک ها می توانند یا درگیری مستقیم ، تقلید عمدی یا توسعه مستقل از تاکتیک های مشابه را نشان دهند. “بدون تأیید شواهد مانند زیرساخت های مشترک یا الگوهای هدفمند ، ما ارزیابی می کنیم که این حمله همگرایی فنی محدود اما قابل توجه را با عملیات شناخته شده Baxia زمین نشان می دهد.”
Development Micro هشدار می دهد که این مورد نگرانی فزاینده ای را تأکید می کند: اپراتورهای باج افزار به طور فزاینده ای تکنیک های پیشرفته و مناسب را برای افزایش دقت و تأثیر حملات خود اتخاذ می کنند. “در حالی که جانشین DLL منحصر به فرد برای هیچ گروهی نیست ، اجرای خاص مشاهده شده در اینجا – سازگار با ابزار و تحویل بارگذاری رمزگذاری شده – یک پیچیدگی را که معمولاً با تهدیدهای مداوم پیشرفته همراه است ، نشان می دهد. این همگرایی تاکتیک های APT با عملیات Ransomware ، خطر بالایی را برای سازمانها ایجاد می کند ، با ترکیب تکنیک های پیشرفته Evasiate با استفاده رمزگذاری باج افزار.“
در این پست تأکید شده است که کمپین Ransomware Charon نشان دهنده تکامل مداوم باج افزار است و تاکتیک های پیشرفته فرار را با قابلیت های بسیار هدفمند و مختل کننده آمیخته است. همگرایی تکنیک هایی که یک بار برای APTS محفوظ است ، شرکت ها را وادار می کند تا رویکردهای سنتی را تجدید نظر کنند و وضعیت امنیتی خود را با دفاع های لایه ای ، هوش تهدید فعال و پاسخ به حادثه قوی تقویت کنند.
فراتر از اختلال در کسب و کار فوری ، چارون سازمانها را در معرض از دست دادن داده ها ، خرابی عملیاتی ، آسیب های شهرت ، مجازات های نظارتی و هزینه های مالی قابل توجهی در ارتباط با پرداخت باج و بازیابی قرار می دهد. ماهیت هدفمند این حملات به این معنی است که حتی شبکه های کاملاً دفاع نیز می توانند به خطر بیفتند و بر نیاز فوری به مقاومت و آمادگی در هر سطح از سازمان تأکید می کنند.
Ransomware Charon از یک روش استخراج بارگذاری بار استفاده می کند. “در طول تحقیقات ما ، Log Dumpstack (DOT) به عنوان یک مؤلفه مهم زنجیره حمله شناخته شد. اگرچه در ابتدا به نظر می رسد یک پرونده ورود به سیستم خوش خیم است ، اما تجزیه و تحلیل بیشتر نشان داد که این یک پوسته رمزگذاری شده مسئول تحویل بار باجوه است. رمزگشایی از لایه اول ، بار دیگر را نشان می دهد (این با استفاده از لایه های اضافی شامل داده های تنظیم شده ، از نظر تنظیمات خاص ، تنظیمات خاص را نشان می دهد. تزریق. “
تجزیه و تحلیل بیشتر یک لایه دوم رمزگذاری در بار متوسط را نشان داد. پس از رمزگشایی این لایه ، پرونده نهایی اجرایی قابل حمل (PE) به عنوان بار باج افزار Charon بر اساس فعالیت رمزگذاری فایل مشاهده شده ، استخراج و تأیید شد.
قبل از شروع روال اصلی رمزگذاری ، Charon Ransomware مجموعه ای از اقدامات مختل کننده را با هدف به حداکثر رساندن شانس موفقیت خود و به حداقل رساندن پتانسیل بازیابی یا تداخل انجام می دهد. این خدمات مربوط به امنیت را متوقف می کند و فرآیندهای فعال ، از جمله خدمات مرتبط با امنیت را خاتمه می دهد. این تضمین می کند که نرم افزار آنتی ویروس و محافظت از نقطه پایانی غیرفعال شده و احتمال تشخیص یا وقفه را کاهش می دهد.
به دنبال این ، به طور سیستماتیک تمام نسخه های سایه را روی سیستم حذف می کند ، نسخه های سایه و نسخه پشتیبان تهیه شده را که می تواند برای ترمیم پرونده استفاده شود ، از بین می برد. برای جلوگیری از تلاشهای بازیابی بیشتر ، محتوای سطل بازیافت را نیز خالی می کند و اطمینان می دهد که پرونده های حذف شده اخیراً به راحتی قابل بازیابی نیستند.
در این پست افزود: “پس از اتمام این موارد ، تعداد هسته های پردازنده موجود در سیستم را شمارش می کند و چندین موضوع اختصاص داده شده برای رمزگذاری پرونده ایجاد می کند.” “با استفاده از چند رشته ، سرعت و کارآیی رمزگذاری را به حداکثر می رساند و به آن اجازه می دهد تا به سرعت حجم زیادی از داده ها را در میزبان آلوده به خطر بیاندازد.”
فراتر از قابلیت رمزگذاری اصلی خود ، Ransomware Charon همچنین چندین رفتار قابل توجه دیگر را به نمایش می گذارد. وی گفت: “این قابلیت های انتشار شبکه را نشان می دهد ، به طور فعال اسکن و رمزگذاری سهام شبکه های قابل دسترسی در زیرساخت ها از طریق Netshareenum و Wnetenumresource. این کار را هم درایوهای نقشه برداری شده و هم مسیرهای کنوانسیون نامگذاری جهانی (UNC) را پردازش می کند ، اگرچه برای جلوگیری از شناسایی ، سهام $ $ را در هنگام ثبت نام می کند.”
دفاع در برابر Ransomware Charon نیاز به یک استراتژی چند لایه برای مقابله با ترکیب خفا ، سرعت و فرار بازیگر تهدید دارد. تیم های امنیتی باید سیستم ها را در برابر DLL DIDELADING و تزریق فرآیند با محدود کردن اینکه اجرایی ها می توانند DLL را اجرا کنند و بارگیری کنند ، به ویژه در دایرکتوری که اغلب برای بارگیری ، مانند پوشه های کاربردی یا مکان های موقت مورد سوء استفاده قرار می گیرند ، سخت کنند. آنها همچنین باید نظارت کند برای زنجیره های فرآیند مشکوک ، از جمله باینری های امضا شده مانند Edge (DOT) Exe تخم ریزی DLL های غیر استاندارد DLL یا SVCHOST.EXE ، و مراقب DLL های بدون امضا یا غیرمعمول در کنار دوتایی مشروع باشید.
تشخیص و پاسخ نقطه پایانی ابزارها به همراه عوامل آنتی ویروس باید پیکربندی شوند تا از ناکامی بدافزارها ، دستکاری در کنار هم یا حذف محافظت های امنیتی جلوگیری شود. برای محدود کردن حرکت جانبی ، سازمانها باید دسترسی بین ایستگاه های کاری ، سرورها و سهام حساس را محدود کنند ، استفاده از مدیر $ و سایر سهام اداری را غیرفعال یا از نزدیک نظارت کنند و احراز هویت قوی را برای همه دسترسی از راه دور اجرا کنند.
پشتیبان گیری و بهبودی قابلیت باید با حفظ نسخه های آفلاین یا تغییر ناپذیر ذخیره شده به طور جداگانه از سیستم های تولید تقویت شود تا از پاک کردن باج از آنها جلوگیری شود. پشتیبان گیری باید به طور مرتب مورد آزمایش قرار گیرد تا تأیید شود که می توانند ترمیم شوند ، و برای جلوگیری از حذف کپی سایه یا بازیافت سطل بازیافت از مسدود کردن بازیابی ، باید از آنها استفاده شود. دسترسی به پشتیبان گیری ، کپی سایه و توابع بازیابی باید به حسابهای خاص و کنترل شده محدود شود.
آگاهی کاربر و مدیریت امتیاز نیز ضروری است. کارمندان باید برای شناخت و جلوگیری از اتصالات مشکوک ، پیوندها و اجرایی که می توانند زنجیره بارگذاری را ایجاد کنند ، آموزش ببینند. حساب ها ، چه برای کاربران و چه برای خدمات ، فقط باید مجوزهای لازم برای نقش خود را برای کاهش تأثیر احتمالی در صورت به خطر انداختن سیستم داشته باشند.
ماه گذشته مایکروسافت مشاهده شده گروه تهدید Ecto Tempest ، همچنین به عنوان عنکبوت پراکنده، Libra Muddled ، UNC3944 یا 0KTAPUS ، هدف قرار دادن بخش هواپیمایی ، تغییر از فعالیت های قبلی خود بین آوریل و ژوئیه امسال که متمرکز بر خرده فروشی ، خدمات غذایی ، مهمان نوازی و سازمان های بیمه بود. این رفتار با الگوی گروه تمرکز بر روی یک صنعت خاص برای مدت طولانی قبل از محور بودن به اهداف جدید سازگار است. Microsoft Safety در پاسخ به این تاکتیک های در حال تحول ، به طور فعال پوشش محافظت خود را به روز می کند.
