Selon Trend Micro, des chercheurs ont identifié « Charon », une nouvelle famille de ransomware ciblant des organisations du secteur public et de l’aviation au Moyen-Orient. Le rapport met en avant des techniques avancées proches des campagnes Earth Baxia et détaille ses mécanismes d’exécution et d’évasion.
Le ransomware recourt à des techniques de type APT, dont le DLL sideloading via le binaire légitime Edge.exe pour charger une DLL malveillante msedge.dll (SWORDLDR). Cette charge utile décrypte et injecte du shellcode chiffré dans des processus svchost.exe, amorçant la phase d’exécution. Il intègre des capacités anti-EDR et démontre une propagation réseau vers des partages accessibles, tout en évitant les partages ADMIN$.
Côté chiffrement, Charon adopte un schéma hybride combinant ECC Curve25519 et le flux ChaCha20, avec une stratégie de chiffrement partiel dépendant de la taille des fichiers. Les fichiers chiffrés reçoivent l’extension .Charon et des exigences de rançon personnalisées sont utilisées. Le binaire embarque un driver anti-EDR inactif issu du projet Dark-Kill.
Pour maximiser l’impact, Charon termine des processus de sécurité, supprime les copies shadow, et tente de se diffuser sur le réseau. Les risques métiers cités incluent des perturbations opérationnelles, des pertes de données et des coûts financiers. Le rapport souligne la nécessité de défenses en couches face à ce type de menace.
TTPs principaux (ATT&CK-like) 🧩:
- Initialisation: DLL sideloading via Edge.exe chargeant msedge.dll (SWORDLDR)
- Exécution: décryptage et injection de shellcode dans svchost.exe
- Évasion/Anti-défense: driver anti-EDR (Dark-Kill) dormant, arrêt de processus de sécurité, suppression des shadow copies
- Impact: chiffrement avec .Charon, chiffrement partiel selon la taille, demandes de rançon personnalisées
- Mouvement latéral/Propagation: ciblage des partages accessibles, contournement des ADMIN$
- Chiffrement: Curve25519 + ChaCha20
IOCs (indicateurs observables) 🧷:
- Extension de fichiers: .Charon
- Module malveillant: msedge.dll alias SWORDLDR
- Processus ciblé pour injection: svchost.exe
Il s’agit d’une publication de recherche présentant une nouvelle menace ransomware, ses techniques et ses impacts potentiels sur les organisations visées.
🔗 Source originale : https://www.trendmicro.com/en_us/research/25/h/new-ransomware-charon.html