Una nueva familia de ransomware sofisticada llamada Charon ha surgido en el panorama de seguridad cibernética, dirigiendo a las organizaciones en el sector público y la industria de aviación de Medio Oriente con técnicas avanzadas de amenaza persistente (APT) típicamente reservadas para los actores de estado-nación.
La campaña de ransomware representa una evolución preocupante en las operaciones cibercriminales, combinando capacidades de sigilo, precisión y destructivos para maximizar el impacto en las organizaciones de las víctimas.
Los actores de amenaza detrás de Charon demuestran una notable sofisticación técnica al emplear técnicas de decisión lateral de DLL que reflejan de cerca las tácticas previamente documentadas en las campañas de la Tierra Baxia, que históricamente se han centrado en los sectores gubernamentales.
La cadena de ataque comienza con la ejecución de un binario de borde legítimo.
Tendencia micro investigadores identificado Esta campaña a través de la investigación forense después de perderse inicialmente un componente crítico llamado DumpStack.log en su telemetría.
Tras la recuperación y el análisis de este archivo, descubrieron que contenía un código de shell cifrado que, cuando se descifró, reveló la carga útil de ransomware de Charon.
La nota de rescate personalizada del ransomware hace referencia específicamente a las organizaciones de víctimas por su nombre, confirmando esto como una operación específica en lugar de un ataque oportunista.
Nota de rescate personalizada de Charon (Fuente – Trend Micro)
La estrategia de implementación del malware implica una sofisticada técnica de extracción de carga útil de varias etapas. El componente SwordLDR carga el archivo dumpstack.log aparentemente benigno, que en realidad contiene múltiples capas de shellcode cifrado.
Después del descifrado de la primera capa, una carga útil intermedia surge con datos de configuración integrados que indican específicamente el uso de svchost.exe para inyección de proceso, como se muestra en la estructura del código recuperado.
Mecanismos avanzados de evasión y cifrado
La arquitectura técnica de Charon revela varias capacidades avanzadas diseñadas para evadir la detección y maximizar la eficiencia de cifrado.
El ransomware crea un mutex llamado “OopsCharonhere” para evitar que se ejecuten múltiples instancias simultáneamente.
Flujo de ejecución del ataque de ransomware de Charon (fuente – Trend Micro)
Antes de iniciar el cifrado, deshabilita sistemáticamente los servicios relacionados con la seguridad y termina los procesos activos, incluidos los antivirus y el software de protección de punto final.
El malware emplea un esquema criptográfico híbrido que combina Curve25519 la criptografía de curva elíptica con el cifrado de la corriente Chacha20.
Genera una clave privada aleatoria de 32 bytes utilizando las funciones criptográficas de Windows, luego crea una clave pública combinada con una clave pública codificada integrada en el binario para establecer un secreto compartido.
Este sofisticado enfoque de cifrado incluye estrategias parciales de cifrado de archivos basados en el tamaño del archivo, con archivos más pequeños que reciben cifrado completo, mientras que los archivos más grandes tienen fragmentos estratégicos encriptados en posiciones específicas.
Quizás lo más preocupante es la inclusión de Charon de capacidades anti-ENDR derivadas del proyecto público de matar oscuro.
El ransomware intenta soltar un controlador como wwc.sys y registrarlo como el servicio “wwc”, aunque el análisis reveló que este componente permanece inactivo en las variantes actuales, lo que sugiere un desarrollo continuo para futuras versiones.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
