Chaos Malware

Chaos Malware er en trussel under aktiv udvikling, mens den tilbydes på underjordiske hackerfora. Infosec -forskere, der opdagede truslen, bemærker, at Chaos Malware udvikler sig hurtigt og er ved at blive til en potent ransomware -trussel, der potentielt kan forårsage meget skade, hvis den frigives i naturen. For nu er Chaos Malware i hvert fald ikke blevet brugt i aktive angrebskampagner.

Indledende visker inkarnation

Den første version af Chaos Malware udviste nogle særegne egenskaber. Truslen blev fremmet som en variant baseret på den berygtede Ryuk Ransomware, men et kig på den underliggende kode viste klart, at dette simpelthen ikke er sandt. På trods af at den blev beskrevet som ransomware, lignede denne første version af truslen mere en visker. Det erstattede indholdet af de berørte filer med tilfældige bytes og kodede dem derefter i Base64. Som sådan går dataene tabt teknisk, og ofrene havde intet incitament til at betale en løsesum til angriberne, hvilket er hovedårsagen til at frigive trusler mod ransomware. Denne version besad også orm-lignende kapaciteter, som gjorde det muligt at sprede sig via flytbare medier. Chaos Malware 1.0 tabte en løsesumsnote inde i en fil med navnet en ransomware -note med navnet 'read_it.txt' og bad om, at 0,147 BTC (Bitcoin) blev overført til angriberne. Ved den nuværende valutakurs for kryptokurrency udgør det mere end $ 6.800.

Efterfølgende versioner viser hurtig udvikling

Den oprindelige version af truslen blev frigivet i juni 2021. Imosec -forskere ville dog i løbet af de næste par måneder lægge mærke til tre nye versioner, der udvidede mulighederne for Chaos Malware kraftigt, hvilket bragte den mere i overensstemmelse med, hvad der forventes fra en ransomware trussel. Version 2.0 så truslen begynde at slette Shadow Volume Copies og backupkataloget på de kompromitterede systemer. Det kunne nu også deaktivere Windows Recover -tilstand. Det var dog stadig en visker, der overskrev de målrettede filer.

Denne adfærd begyndte endelig at ændre sig med 3.0 -versionen, da den introducerede AES + RSA -kryptering for filer under 1MB. Den seneste observerede version af Chaos Malware anvender den samme kombination af AES- og RSA -kryptografiske algoritmer, men er i stand til at låse filer under 2MB. Det giver trusselsaktøren mulighed for at tilpasse udvidelsen, der bruges til de krypterede filer. Truslen kunne også instrueres i at ændre standardbilledet på skrivebordet på de inficerede systemer.