Chaos Malware

Il Chaos Malware è una minaccia in fase di sviluppo attivo mentre viene offerto sui forum di hacker sotterranei. I ricercatori di Infosec che hanno scoperto la minaccia, notano che il Chaos Malware si sta evolvendo rapidamente e si sta trasformando in una potente minaccia ransomware che potrebbe causare molti danni se rilasciata in natura. Almeno per ora, il Chaos Malware non è stato utilizzato nelle campagne di attacco attivo.

Incarnazione iniziale del tergicristallo

La prima versione del Chaos Malware presentava alcune caratteristiche peculiari. La minaccia è stata promossa come una variante basata sul famigerato Ryuk Ransomware, ma uno sguardo al codice sottostante ha mostrato chiaramente che questo semplicemente non è vero. Inoltre, nonostante sia stato descritto come ransomware, questa versione iniziale della minaccia era più simile a un wiper. Ha sostituito il contenuto dei file interessati con byte casuali e poi li ha codificati in Base64. In quanto tale, i dati vengono persi tecnicamente e le vittime non hanno alcun incentivo a pagare un riscatto agli aggressori, motivo principale per il rilascio di minacce ransomware. Questa versione possedeva anche capacità simili a worm, che gli consentivano di diffondersi tramite supporti rimovibili. Il Chaos Malware 1.0 ha rilasciato una richiesta di riscatto all'interno di un file denominato nota ransomware denominato "read_it.txt" e ha chiesto il trasferimento di 0,147 BTC (Bitcoin) agli aggressori. Al tasso di cambio attuale della criptovaluta, ciò ammonta a più di $ 6.800.

Le versioni successive mostrano una rapida evoluzione

La versione iniziale della minaccia è stata rilasciata nel giugno 2021. Tuttavia, nei prossimi due mesi, i ricercatori di infosec avrebbero notato tre nuove versioni che hanno ampliato notevolmente le capacità del Chaos Malware, rendendolo più in linea con quanto previsto da un minaccia ransomware. La versione 2.0 ha visto la minaccia iniziare a eliminare le copie shadow del volume e il catalogo di backup sui sistemi compromessi. Ora potrebbe anche disabilitare la modalità di ripristino di Windows. Tuttavia, era ancora un wiper che sovrascriveva i file di destinazione.

Questo comportamento ha finalmente iniziato a cambiare con la versione 3.0, poiché ha introdotto la crittografia AES + RSA per i file inferiori a 1 MB. L'ultima versione osservata di Chaos Malware utilizza la stessa combinazione degli algoritmi crittografici AES e RSA, ma è in grado di bloccare file di dimensioni inferiori a 2 MB. Consente all'autore della minaccia di personalizzare l'estensione utilizzata per i file crittografati. La minaccia potrebbe anche essere istruita a modificare l'immagine desktop predefinita sui sistemi infetti.