Een nieuwe golf van gerichte cyberaanvallen zet de overheidssector en de luchtvaart in het Midden Oosten onder druk. Onderzoekers troffen een tot nu toe onbekende ransomware aan die de naam Charon kreeg. De operatie gebruikt technieken die doorgaans aan statelijke aanvallers worden toegeschreven. Denk aan het ongemerkt inladen van kwaadaardige bibliotheken via legitieme programma’s en het injecteren van code in draaiende processen waardoor detectie op endpoints wordt omzeild.
De aanvalsketen maakt misbruik van een legitiem browsergerelateerd bestand met de naam Edge.exe dat eerder als cookie_exporter.exe werd verspreid. Via deze route wordt een kwaadaardige bibliotheek met de naam msedge.dll ingeladen die door onderzoekers SWORDLDR wordt genoemd. Daarna volgt de uitrol van Charon. De ransomware schakelt beveiligingsdiensten uit, beëindigt processen, verwijdert schaduwkopieën en back-ups en gebruikt gelijktijdige threads en gedeeltelijke versleuteling om systemen sneller op slot te zetten. In het arsenaal is ook een driver aangetroffen die is afgeleid van het open source project Dark Kill en bedoeld is om verdediging uit te schakelen met de techniek bring your own vulnerable driver. Die functie lijkt nog in ontwikkeling maar laat wel zien waar de capaciteit naartoe groeit.
De campagne oogt nadrukkelijk doelgericht. Losgeldbrieven worden afgestemd op de naam van het slachtoffer en daarmee valt de operatie buiten het patroon van massale spray and pray aanvallen. De herkomst is niet eenduidig. Er zijn tactische overeenkomsten met het collectief dat bekendstaat als Earth Baxia dat eerder overheden in Azië bestookte na misbruik van een kwetsbaarheid in GeoServer om een achterdeur met de naam EAGLEDOOR te plaatsen. Onderzoekers houden rekening met directe betrokkenheid, een bewuste imitatie of een nieuwe groepering die vergelijkbare methoden hanteert. Hoe de toegang in deze gevallen precies is verkregen blijft vooralsnog onduidelijk.
Het beeld past in een bredere verschuiving waarin cybercriminelen tactieken van geavanceerde dreigingsgroepen overnemen. Zo werd recent ook een campagne van Interlock beschreven waarin lokmiddelen met de naam ClickFix worden ingezet. Daarna volgen meerdere stappen met scripts en kleine achterdeurtjes in verschillende talen om wachtwoorden te stelen, verkenning uit te voeren en uiteindelijk versleuteling te starten. Organisaties blijven hierdoor onder zware druk staan. Ruim de helft meldde het afgelopen jaar een succesvolle aanval en bij partijen met e-mailinbraken lag dat aandeel nog hoger. Betalen biedt geen zekerheid want minder dan de helft kreeg alle data terug.
Voor Suriname is dit geen ver-van-mijn-bed verhaal. Overheidsdiensten, luchtvaartpartners en aanverwante leveranciers vormen aantrekkelijke doelwitten door hun afhankelijkheid van bedrijfscontinuïteit en de vaak complexe keten. Avigdor adviseert een compacte set maatregelen die meteen effect sorteert. Begin bij de endpoints. Zet geheugenintegriteit aan, gebruik de door de leverancier beheerde blocklist voor kwetsbare kerneldrivers, voorkom het installeren van niet-ondertekende drivers en bescherm de beveiligingssoftware tegen sabotage. Handhaaf daarnaast strikte applicatiecontrole met middelen als Windows Defender Application Control of AppLocker zodat alleen expliciet toegestane programma’s draaien.
Verhoog tegelijk de waakzaamheid op de technieken die in deze zaak centraal staan. Laat het beveiligingsplatform gericht zoeken naar verdachte ouder-kindrelaties rondom Edge.exe en naar ongewone laadmomenten van msedge.dll. Alarmeer op commando’s die schaduwkopieën wissen of diensten van beveiliging uitschakelen en laat het huntteam hier wekelijks op terugkomen. Zo wordt sideloading zichtbaar en kan ingrijpen plaatsvinden voordat versleuteling begint.
Beperk vervolgens de bewegingsruimte van indringers binnen het netwerk. Scheid cruciale systemen van kantoorautomatisering, geef beheerdersrechten alleen wanneer dat strikt nodig is en alleen voor de duur van de taak en verplicht meervoudige aanmelding met middelen die bestand zijn tegen phishing. Dit snijdt laterale verplaatsing af en maakt het moeilijker om van een enkel besmet systeem naar het hart van de dienstverlening te komen.
Hanteer ook de strategie met drie kopieën op twee verschillende typen media waarvan een offline of onveranderbaar is. Test elk kwartaal het terugzetten op compleet systeemniveau en niet alleen op bestandsniveau en behandel de back-upomgeving als kroonjuweel met eigen monitoring en toegangsregels. Wanneer versleuteling toch plaatsvindt staat er dan een route klaar die geen onderhandelingen met criminelen vereist.
Met deze vier stappen zet de overheid samen met partners in de luchtvaartketen snel meetbare drempels neer. Charon en soortgenoten teren op onzichtbaarheid, zwakke segmentatie en back-ups die pas tijdens een crisis worden getest. Door endpoints te hardenen, sideloading actief te signaleren, beweging in het netwerk af te knijpen en herstel te bewijzen in oefeningen wordt de verblijftijd van aanvallers kort, de schade beperkt en het vertrouwen van burgers en reizigers behouden. Avigdor kan de uitvoering gefaseerd begeleiden en levert waar nodig permanente monitoring en oefeningen zodat ook bij nieuwe varianten de basis overeind blijft.
