Negli ultimi tempi la sicurezza informatica nel Medio Oriente è stata messa alla prova da una nuova minaccia: il ransomware Charon. Questa campagna malevola, rilevata dagli esperti di cybersecurity, ha preso di mira in particolare il settore pubblico e l’industria aeronautica della regione, distinguendosi per l’adozione di tattiche avanzate solitamente associate ai gruppi APT, come il side-loading di DLL, l’iniezione di processi e sofisticate tecniche di evasione dei software di endpoint detection e response.

Diffusione e tecniche di attacco

Il ransomware Charon si diffonde sfruttando file legittimi, in particolare un eseguibile collegato ai browser, che viene utilizzato per caricare una DLL malevola e successivamente il payload finale. Questa modalità ricorda molto da vicino gli attacchi attribuiti a gruppi di hacker cinesi, in particolare Earth Baxia, già noti per aver preso di mira istituzioni governative in Asia tramite backdoor dopo lo sfruttamento di vulnerabilità note e ora risolte.

Charon esegue azioni mirate a sabotare le difese delle vittime: termina servizi di sicurezza, chiude processi attivi e cancella copie di backup e shadow copies, riducendo drasticamente le possibilità di recupero dei dati. Per velocizzare e rendere più efficiente la cifratura, utilizza tecniche di multithreading e cifratura parziale. Un aspetto particolarmente rilevante di questa minaccia è l’utilizzo di un driver open source, derivato dal progetto Dark-Kill, per tentare di disabilitare le soluzioni EDR attraverso attacchi BYOVD. Tuttavia, questa funzione sembra ancora in fase di sviluppo e non viene attivata durante l’esecuzione standard del malware.

Attacchi mirati e personalizzazione

A differenza di molti ransomware opportunistici, Charon sembra essere impiegato in attacchi mirati. La personalizzazione delle note di riscatto, che include il nome specifico dell’organizzazione colpita, suggerisce una campagna studiata nei dettagli. L’accesso iniziale resta ancora da chiarire, ma la natura selettiva degli attacchi sottolinea la crescente professionalizzazione degli attori dietro queste operazioni.

Convergenza tra cybercrime e minacce statali

Gli analisti sottolineano come le tecniche utilizzate da Charon mostrino una convergenza tra il cybercrime tradizionale e le strategie tipiche delle minacce sponsorizzate da stati nazionali. Il rischio per le organizzazioni cresce, poiché l’adozione di tattiche APT rende le infezioni più difficili da individuare e mitigare. Le statistiche recenti confermano la gravità del fenomeno: oltre la metà delle aziende mondiali è stata colpita da ransomware nell’ultimo anno e solo una minoranza ha recuperato integralmente i dati dopo il pagamento.