Chaos Malware

Złośliwe oprogramowanie Chaos jest zagrożeniem, które jest aktywnie rozwijane, gdy jest oferowane na podziemnych forach hakerskich. Badacze Infosec, którzy odkryli zagrożenie, zauważają, że Chaos Malware szybko ewoluuje i przekształca się w potężne zagrożenie ransomware, które może potencjalnie spowodować wiele szkód, jeśli zostanie uwolnione na wolności. Przynajmniej na razie Chaos Malware nie było używane w aktywnych kampaniach ataków.

Początkowe wcielenie Wipera

Pierwsza wersja Chaos Malware wykazywała pewne szczególne cechy. Zagrożenie było promowane jako wariant oparty na niesławnym Ryuk Ransomware, ale spojrzenie na kod bazowy wyraźnie pokazał, że to po prostu nieprawda. Co więcej, mimo że została opisana jako ransomware, ta początkowa wersja zagrożenia była bardziej podobna do wycieraczki. Zastąpił on zawartość dotkniętych plików losowymi bajtami, a następnie zakodował je w Base64. W związku z tym dane są technicznie tracone, a ofiary nie miały motywacji do płacenia okupu napastnikom, co jest głównym powodem wypuszczania zagrożeń ransomware. Ta wersja posiadała również możliwości robaka, co umożliwiało jej rozprzestrzenianie się za pośrednictwem nośników wymiennych. Chaos Malware 1.0 upuściło żądanie okupu w pliku o nazwie ransomware o nazwie „read_it.txt" i poprosił o przesłanie 0,147 BTC (Bitcoin) atakującym. Przy obecnym kursie kryptowaluty wynosi to ponad 6800 USD.

Kolejne wersje pokazują szybką ewolucję

Pierwotna wersja zagrożenia została opublikowana w czerwcu 2021 r. Jednak w ciągu najbliższych kilku miesięcy badacze infosec zauważyliby trzy nowe wersje, które znacznie rozszerzyły możliwości Chaos Malware, co bardziej zbliżyło go do tego, czego oczekuje się od zagrożenie ransomware. W wersji 2.0 zagrożenie zaczęło usuwać ukryte kopie woluminów i katalog kopii zapasowych w zaatakowanych systemach. Może teraz również wyłączyć tryb odzyskiwania systemu Windows. Jednak wciąż był to program do wycierania, który nadpisywał docelowe pliki.

To zachowanie w końcu zaczęło się zmieniać w wersji 3.0, ponieważ wprowadzono szyfrowanie AES + RSA dla plików poniżej 1 MB. Najnowsza zaobserwowana wersja Chaos Malware wykorzystuje tę samą kombinację algorytmów kryptograficznych AES i RSA, ale jest w stanie blokować pliki poniżej 2 MB. Pozwala aktorowi zagrożeń dostosować rozszerzenie używane do zaszyfrowanych plików. Zagrożenie może również zostać poinstruowane, aby zmienić domyślny obraz pulpitu w zainfekowanych systemach.