🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie o projeto e divulgue suas redes! Clique aqui
Os pesquisadores de segurança cibernética descobriram uma nova campanha que emprega uma família de ransomware não documentada anteriormente chamada Charon para atingir o setor público e o setor de aviação do Oriente Médio.
O ator de ameaças por trás da atividade, de acordo com a Trend Micro, exibiu táticas que refletem os de grupos de ameaça persistente avançada (APT), como carregamento lateral da DLL, injeção de processo e a capacidade de evitar o software de detecção e resposta de terminais (EDR).
As técnicas de carregamento lateral da DLL se assemelham às previamente documentadas como parte de ataques orquestrados por um grupo de hackers ligado à China chamado Earth Baxia, que foi sinalizado pela empresa de segurança cibernética como direcionando entidades governamentais em Taiwan e a região de segurança da Ásia.
"A cadeia de ataques alavancou um arquivo legítimo relacionado ao navegador, Edge.exe (originalmente chamado cookie_exporter.exe), para marcar um MSEDED.DLL malicioso (SwordLDR), que posteriormente destacou o Charon Ransomware Payload, e os pesquisadores Jacob Santos.
Como outros binários de ransomware, Charon é capaz de ações disruptivas que encerram serviços relacionados à segurança e processos de execução, além de excluir cópias e backups de sombra, minimizando assim as chances de recuperação. Ele também emprega técnicas de criação multithreading e de criptografia parcial para tornar a rotina de bloqueio de arquivos mais rápida e eficiente.
Outro aspecto notável do ransomware é o uso de um driver compilado a partir do projeto escuro de fonte aberta para desativar as soluções EDR por meio do que é chamado de ataque de driver vulnerável (BYOVD). No entanto, essa funcionalidade nunca é acionada durante a execução, sugerindo que o recurso provavelmente está em desenvolvimento.
Há evidências que sugerem que a campanha foi direcionada e não oportunista. Isso decorre do uso de uma nota de resgate personalizada que chama especificamente a organização da vítima pelo nome, uma tática não observada nos ataques tradicionais de ransomware. Atualmente, não se sabe como o acesso inicial foi obtido.
Apesar das sobreposições técnicas com a Terra Baxia, a Trend Micro enfatizou que isso pode significar uma das três coisas -
Envolvimento direto da Baxia da Terra
Uma operação de bandeira falsa projetada para imitar deliberadamente o tradecraft da Terra Baxia, ou
Um novo ator de ameaças que desenvolveu táticas semelhantes independentemente
"Sem evidências corroboradas, como infraestrutura compartilhada ou padrões de segmentação consistentes, avaliamos esse ataque demonstra uma convergência técnica limitada, mas notável, com operações conhecidas de Baxia Earth", apontou a tendência micro.
Independentemente da atribuição, os resultados exemplificam a tendência contínua dos operadores de ransomware adotando cada vez mais métodos sofisticados para implantação de malware e evasão de defesa, desfocar ainda mais as linhas entre o crime cibernético e a atividade do estado-nação.
"Essa convergência de táticas adequadas com operações de ransomware apresenta um risco elevado para as organizações, combinando técnicas sofisticadas de evasão com o impacto imediato dos negócios da criptografia de ransomware", concluiu os pesquisadores.
A divulgação ocorre quando o eSentire detalhou uma campanha de ransomware de intertravamento que alavancou as iscas do clickfix para soltar um backdoor baseado em PHP que, por sua vez, implanta o Nodesnake (também conhecido como rato interlock) para roubo de credenciais e implante baseado em C, que suporta comandos que suportam o atacante para adicionar reconhecimento e resumo de invasão de atacantes.
"O Grupo Interlock emprega um processo complexo de vários estágios envolvendo scripts do PowerShell, backdoors PHP/NodeJS/C, destacando a importância de monitorar a atividade suspeita de processo, LOLBins e outros TTPs", disse a empresa canadense.
As descobertas mostram que o ransomware continua sendo uma ameaça em evolução, mesmo quando as vítimas continuam pagando resgates para recuperar rapidamente o acesso aos sistemas. Os cibercriminosos, por outro lado, começaram a recorrer a ameaças físicas e ataques de DDOs como uma maneira de pressionar as vítimas.
As estatísticas compartilhadas por Barracuda mostram que 57% das organizações sofreram um ataque de ransomware bem -sucedido nos últimos 12 meses, dos quais 71% que sofreram uma violação por e -mail também foram atingidos por ransomware. Além disso, 32% pagaram um resgate, mas apenas 41% das vítimas recuperaram todos os dados.
O ator de ameaças por trás da atividade, de acordo com a Trend Micro, exibiu táticas que refletem os de grupos de ameaça persistente avançada (APT), como carregamento lateral da DLL, injeção de processo e a capacidade de evitar o software de detecção e resposta de terminais (EDR).
As técnicas de carregamento lateral da DLL se assemelham às previamente documentadas como parte de ataques orquestrados por um grupo de hackers ligado à China chamado Earth Baxia, que foi sinalizado pela empresa de segurança cibernética como direcionando entidades governamentais em Taiwan e a região de segurança da Ásia.
"A cadeia de ataques alavancou um arquivo legítimo relacionado ao navegador, Edge.exe (originalmente chamado cookie_exporter.exe), para marcar um MSEDED.DLL malicioso (SwordLDR), que posteriormente destacou o Charon Ransomware Payload, e os pesquisadores Jacob Santos.
Como outros binários de ransomware, Charon é capaz de ações disruptivas que encerram serviços relacionados à segurança e processos de execução, além de excluir cópias e backups de sombra, minimizando assim as chances de recuperação. Ele também emprega técnicas de criação multithreading e de criptografia parcial para tornar a rotina de bloqueio de arquivos mais rápida e eficiente.
Outro aspecto notável do ransomware é o uso de um driver compilado a partir do projeto escuro de fonte aberta para desativar as soluções EDR por meio do que é chamado de ataque de driver vulnerável (BYOVD). No entanto, essa funcionalidade nunca é acionada durante a execução, sugerindo que o recurso provavelmente está em desenvolvimento.
Há evidências que sugerem que a campanha foi direcionada e não oportunista. Isso decorre do uso de uma nota de resgate personalizada que chama especificamente a organização da vítima pelo nome, uma tática não observada nos ataques tradicionais de ransomware. Atualmente, não se sabe como o acesso inicial foi obtido.
Apesar das sobreposições técnicas com a Terra Baxia, a Trend Micro enfatizou que isso pode significar uma das três coisas -
Envolvimento direto da Baxia da Terra
Uma operação de bandeira falsa projetada para imitar deliberadamente o tradecraft da Terra Baxia, ou
Um novo ator de ameaças que desenvolveu táticas semelhantes independentemente
"Sem evidências corroboradas, como infraestrutura compartilhada ou padrões de segmentação consistentes, avaliamos esse ataque demonstra uma convergência técnica limitada, mas notável, com operações conhecidas de Baxia Earth", apontou a tendência micro.
Independentemente da atribuição, os resultados exemplificam a tendência contínua dos operadores de ransomware adotando cada vez mais métodos sofisticados para implantação de malware e evasão de defesa, desfocar ainda mais as linhas entre o crime cibernético e a atividade do estado-nação.
"Essa convergência de táticas adequadas com operações de ransomware apresenta um risco elevado para as organizações, combinando técnicas sofisticadas de evasão com o impacto imediato dos negócios da criptografia de ransomware", concluiu os pesquisadores.
A divulgação ocorre quando o eSentire detalhou uma campanha de ransomware de intertravamento que alavancou as iscas do clickfix para soltar um backdoor baseado em PHP que, por sua vez, implanta o Nodesnake (também conhecido como rato interlock) para roubo de credenciais e implante baseado em C, que suporta comandos que suportam o atacante para adicionar reconhecimento e resumo de invasão de atacantes.
"O Grupo Interlock emprega um processo complexo de vários estágios envolvendo scripts do PowerShell, backdoors PHP/NodeJS/C, destacando a importância de monitorar a atividade suspeita de processo, LOLBins e outros TTPs", disse a empresa canadense.
As descobertas mostram que o ransomware continua sendo uma ameaça em evolução, mesmo quando as vítimas continuam pagando resgates para recuperar rapidamente o acesso aos sistemas. Os cibercriminosos, por outro lado, começaram a recorrer a ameaças físicas e ataques de DDOs como uma maneira de pressionar as vítimas.
As estatísticas compartilhadas por Barracuda mostram que 57% das organizações sofreram um ataque de ransomware bem -sucedido nos últimos 12 meses, dos quais 71% que sofreram uma violação por e -mail também foram atingidos por ransomware. Além disso, 32% pagaram um resgate, mas apenas 41% das vítimas recuperaram todos os dados.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #charon #ransomware #atinge #os #setores #do #oriente #médio #usando #táticas #de #evasão #no #nível #apto
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário