Ransomware Charon
Des experts en cybersécurité ont découvert une nouvelle campagne de rançongiciel utilisant une souche jusqu'alors inconnue, nommée Charon, et visant spécifiquement le secteur public et l'industrie aéronautique au Moyen-Orient. L'opération affiche un haut niveau de sophistication, avec des tactiques généralement associées aux acteurs de menaces persistantes avancées (APT).
Table des matières
Emprunter des tactiques aux manuels APT
Les attaquants ont employé des techniques avancées telles que le chargement latéral de DLL, l'injection de processus et des manœuvres d'évitement conçues pour contourner les outils de détection et de réponse aux points de terminaison (EDR). Cette approche de chargement latéral de DLL reflète notamment les méthodes observées lors des attaques d'Earth Baxia, un groupe de pirates informatiques lié à la Chine, connu pour cibler des entités gouvernementales à Taïwan et dans la région Asie-Pacifique.
Lors de ces incidents précédents, Earth Baxia avait exploité une faille désormais corrigée dans OSGeo GeoServer GeoTools pour déployer une porte dérobée appelée EAGLEDOOR. Dans le cas de Charon, l'attaque a utilisé un fichier légitime, Edge.exe (initialement cookie_exporter.exe), pour charger une dll msedge.dll malveillante appelée SWORDLDR, qui a ensuite déployé la charge utile du rançongiciel Charon.
Capacités du ransomware Charon
Une fois déployé, Charon se comporte comme les autres variantes de ransomwares destructeurs, mais avec des optimisations qui le rendent à la fois perturbateur et efficace. Il peut :
- Mettre fin aux services liés à la sécurité et aux processus actifs.
- Supprimez les sauvegardes et les clichés instantanés pour empêcher la récupération.
- Utilisez le multithreading et le cryptage partiel pour un verrouillage plus rapide des fichiers.
Une autre fonctionnalité intéressante est l'intégration d'un pilote compilé à partir du projet open source Dark-Kill. Cela permet une attaque BYOVD (Apportez votre propre pilote vulnérable) pour désactiver les outils EDR. Cependant, les chercheurs ont constaté que cette fonctionnalité n'est pas encore active, ce qui suggère qu'elle est encore en développement.
Signes d’une opération ciblée
Les enquêteurs estiment que cette campagne était délibérée plutôt qu'opportuniste. Cette conclusion repose sur la présence d'une demande de rançon personnalisée mentionnant le nom de l'organisation victime, un cas rare dans les incidents de rançongiciels classiques. La méthode utilisée pour l'accès initial reste inconnue.
Attribution incertaine
Bien que les techniques de Charon partagent des similitudes avec les opérations de Baxia sur Terre, les experts avertissent que ce chevauchement pourrait indiquer :
- Implication directe de la Terre Baxia.
- Une opération sous fausse bannière conçue pour imiter la Terre Baxia.
- Un nouveau groupe développe indépendamment des tactiques similaires.
Sans preuve claire comme une infrastructure partagée ou des modèles de ciblage cohérents, le lien reste spéculatif.
La convergence croissante de la cybercriminalité et des tactiques des États-nations
Cet incident met en évidence une tendance inquiétante : les groupes de rançongiciels adoptent de plus en plus des méthodes d'intrusion et d'évasion de type APT. La combinaison de techniques de furtivité et des dommages financiers et opérationnels immédiats du chiffrement des rançongiciels accroît considérablement les enjeux pour les organisations ciblées.
