Chaos-malware

De Chaos Malware is een bedreiging die actief wordt ontwikkeld terwijl het wordt aangeboden op ondergrondse hackerforums. Infosec-onderzoekers die de dreiging ontdekten, merken op dat de Chaos Malware snel evolueert en verandert in een krachtige ransomware-dreiging die mogelijk veel schade kan aanrichten als deze in het wild wordt vrijgegeven. Voorlopig is de Chaos Malware in ieder geval niet gebruikt in actieve aanvalscampagnes.

Eerste Wisser-incarnatie

De eerste versie van de Chaos Malware vertoonde enkele eigenaardige kenmerken. De dreiging werd gepromoot als een variant op basis van de beruchte Ryuk Ransomware, maar een blik op de onderliggende code toonde duidelijk aan dat dit gewoon niet waar is. Bovendien, ondanks dat het werd beschreven als ransomware, leek deze eerste versie van de dreiging meer op een wisser. Het verving de inhoud van de getroffen bestanden door willekeurige bytes en codeerde ze vervolgens in Base64. Als zodanig gaan de gegevens technisch verloren en hadden slachtoffers geen reden om losgeld te betalen aan de aanvallers, wat de belangrijkste reden is voor het vrijgeven van ransomware-bedreigingen. Deze versie bezat ook wormachtige mogelijkheden, waardoor het zich via verwijderbare media kon verspreiden. De Chaos Malware 1.0 liet een losgeldbriefje in een bestand met de naam 'read_it.txt' vallen en vroeg om 0.147 BTC (Bitcoin) over te dragen aan de aanvallers. Tegen de huidige wisselkoers van de cryptocurrency komt dat neer op meer dan $6.800.

Volgende versies tonen snelle evolutie

De eerste versie van de dreiging werd uitgebracht in juni 2021. In de komende paar maanden zouden infosec-onderzoekers echter drie nieuwe versies opmerken die de mogelijkheden van de Chaos Malware enorm uitbreidden, waardoor het meer in lijn kwam met wat wordt verwacht van een ransomware-dreiging. Versie 2.0 zag de dreiging beginnen met het verwijderen van de Shadow Volume Copies en de back-upcatalogus op de gecompromitteerde systemen. Het kan nu ook de Windows Recover-modus uitschakelen. Het was echter nog steeds een wisser die de doelbestanden overschreef.

Dit gedrag begon eindelijk te veranderen met de 3.0-versie, omdat het AES + RSA-codering introduceerde voor bestanden onder 1 MB. De laatst waargenomen versie van de Chaos Malware maakt gebruik van dezelfde combinatie van de AES- en RSA-cryptografische algoritmen, maar is in staat om bestanden van minder dan 2 MB te vergrendelen. Hiermee kan de dreigingsactor de extensie aanpassen die wordt gebruikt voor de versleutelde bestanden. De dreiging kan ook worden geïnstrueerd om de standaard bureaubladafbeelding op de geïnfecteerde systemen te wijzigen.