Новая целевая кампания с использованием ранее незадокументированного вымогателя, получившего название Charon, нацелена на организации государственного и авиационного секторов на Ближнем Востоке. По данным компании Trend Micro, эта кампания отличается применением сложных тактик уклонения, которые традиционно ассоциируются с государственными кибергруппами (APT), что свидетельствует о значительной эволюции в методах операторов программ-вымогателей.
Атака начинается с использования легитимного файла
После проникновения в систему Charon демонстрирует высокую эффективность. Он принудительно завершает процессы и службы, связанные с безопасностью, чтобы нейтрализовать защитные механизмы. Затем вымогатель удаляет теневые копии и резервные копии данных, лишая жертву возможности быстрого восстановления. Для ускорения процесса шифрования файлов используются многопоточность и частичное шифрование, что сокращает время до полной блокировки системы.
Особое внимание привлекает механизм обхода средств защиты конечных точек (EDR). В состав Charon включен драйвер, скомпилированный на основе открытого проекта Dark-Kill. Этот компонент предназначен для отключения EDR-решений с помощью атаки типа BYOVD (Bring Your Own Vulnerable Driver — «принеси свой собственный уязвимый драйвер»). Примечательно, что в ходе зафиксированных атак эта функция не была активирована, что может указывать на ее нахождение в стадии разработки.
Доказательством целенаправленного характера атак служат персонализированные записки с требованием выкупа. В них злоумышленники обращаются к организации-жертве по имени, что является тактикой, не свойственной для массовых, оппортунистических кампаний. Это подтверждает, что каждая атака тщательно готовится и направлена на конкретную цель.
Исследователи Trend Micro — Джейкоб Сантос, Тед Ли, Ахмед Камаль и Дон Овид Ладор — обнаружили техническое сходство между Charon и действиями кибергруппы Earth Baxia. Рассматриваются три версии: прямое участие Earth Baxia, операция под ложным флагом для имитации этой группы или появление нового игрока, независимо разработавшего схожие инструменты. Окончательный вывод гласит о «ограниченном, но заметном техническом сходстве», однако из-за отсутствия общей инфраструктуры и совпадений в целях прямая связь не установлена.
Схожая тенденция к усложнению атак наблюдается и в других кампаниях. Канадская компания eSentire сообщила о деятельности группы Interlock, использующей вымогатель с одноименным названием. Их атаки начинаются с фишинговых приманок ClickFix, через которые доставляется бэкдор на основе PHP.
Далее бэкдор развертывает инструмент NodeSnake (также известный как Interlock RAT) для кражи учетных данных и имплант на языке C, который выполняет команды для разведки и последующего запуска шифровальщика. Эта многоэтапная цепочка, включающая PowerShell-скрипты и бэкдоры на PHP, NodeJS и C, демонстрирует высокий уровень технической подготовки злоумышленников.
Эти примеры подтверждают общую тенденцию: операторы программ-вымогателей все чаще заимствуют тактики у APT-групп, стирая грань между киберпреступностью и кибератаками, спонсируемыми государствами. Такое слияние методов повышает уровень угрозы, поскольку сочетает в себе скрытность и продвинутые техники уклонения с прямым финансовым и операционным ущербом от шифрования.
Давление на жертв также эволюционирует. Помимо шифрования данных, злоумышленники все чаще прибегают к DDoS-атакам и даже физическим угрозам, чтобы заставить компании заплатить выкуп.
Статистика компании Barracuda подтверждает масштабы проблемы. За последние 12 месяцев 57% организаций столкнулись с успешной атакой программы-вымогателя. При этом прослеживается четкая связь с безопасностью электронной почты: 71% компаний, переживших взлом почты, впоследствии становились жертвами шифровальщиков.
Несмотря на высокое давление, только 32% пострадавших организаций заплатили выкуп. Из тех, кто пошел на сделку со злоумышленниками, лишь 41% смогли полностью восстановить свои данные, что подчеркивает неэффективность и рискованность уплаты выкупа.
Изображение носит иллюстративный характер
Атака начинается с использования легитимного файла
Edge.exe, первоначально названного cookie_exporter.exe. Этот исполняемый файл применяется для выполнения техники DLL side-loading (загрузка сторонней DLL), в рамках которой подгружается вредоносный файл msedge.dll. Данный загрузчик, также известный как SWORDLDR, развертывает конечную полезную нагрузку — шифровальщик Charon. Такой многоступенчатый процесс усложняет обнаружение атаки. После проникновения в систему Charon демонстрирует высокую эффективность. Он принудительно завершает процессы и службы, связанные с безопасностью, чтобы нейтрализовать защитные механизмы. Затем вымогатель удаляет теневые копии и резервные копии данных, лишая жертву возможности быстрого восстановления. Для ускорения процесса шифрования файлов используются многопоточность и частичное шифрование, что сокращает время до полной блокировки системы.
Особое внимание привлекает механизм обхода средств защиты конечных точек (EDR). В состав Charon включен драйвер, скомпилированный на основе открытого проекта Dark-Kill. Этот компонент предназначен для отключения EDR-решений с помощью атаки типа BYOVD (Bring Your Own Vulnerable Driver — «принеси свой собственный уязвимый драйвер»). Примечательно, что в ходе зафиксированных атак эта функция не была активирована, что может указывать на ее нахождение в стадии разработки.
Доказательством целенаправленного характера атак служат персонализированные записки с требованием выкупа. В них злоумышленники обращаются к организации-жертве по имени, что является тактикой, не свойственной для массовых, оппортунистических кампаний. Это подтверждает, что каждая атака тщательно готовится и направлена на конкретную цель.
Исследователи Trend Micro — Джейкоб Сантос, Тед Ли, Ахмед Камаль и Дон Овид Ладор — обнаружили техническое сходство между Charon и действиями кибергруппы Earth Baxia. Рассматриваются три версии: прямое участие Earth Baxia, операция под ложным флагом для имитации этой группы или появление нового игрока, независимо разработавшего схожие инструменты. Окончательный вывод гласит о «ограниченном, но заметном техническом сходстве», однако из-за отсутствия общей инфраструктуры и совпадений в целях прямая связь не установлена.
Схожая тенденция к усложнению атак наблюдается и в других кампаниях. Канадская компания eSentire сообщила о деятельности группы Interlock, использующей вымогатель с одноименным названием. Их атаки начинаются с фишинговых приманок ClickFix, через которые доставляется бэкдор на основе PHP.
Далее бэкдор развертывает инструмент NodeSnake (также известный как Interlock RAT) для кражи учетных данных и имплант на языке C, который выполняет команды для разведки и последующего запуска шифровальщика. Эта многоэтапная цепочка, включающая PowerShell-скрипты и бэкдоры на PHP, NodeJS и C, демонстрирует высокий уровень технической подготовки злоумышленников.
Эти примеры подтверждают общую тенденцию: операторы программ-вымогателей все чаще заимствуют тактики у APT-групп, стирая грань между киберпреступностью и кибератаками, спонсируемыми государствами. Такое слияние методов повышает уровень угрозы, поскольку сочетает в себе скрытность и продвинутые техники уклонения с прямым финансовым и операционным ущербом от шифрования.
Давление на жертв также эволюционирует. Помимо шифрования данных, злоумышленники все чаще прибегают к DDoS-атакам и даже физическим угрозам, чтобы заставить компании заплатить выкуп.
Статистика компании Barracuda подтверждает масштабы проблемы. За последние 12 месяцев 57% организаций столкнулись с успешной атакой программы-вымогателя. При этом прослеживается четкая связь с безопасностью электронной почты: 71% компаний, переживших взлом почты, впоследствии становились жертвами шифровальщиков.
Несмотря на высокое давление, только 32% пострадавших организаций заплатили выкуп. Из тех, кто пошел на сделку со злоумышленниками, лишь 41% смогли полностью восстановить свои данные, что подчеркивает неэффективность и рискованность уплаты выкупа.
