Chaos Malware

O Chaos Malware é uma ameaça em desenvolvimento ativo, embora ele seja oferecido em fóruns de hackers clandestinos. Os pesquisadores de Infosec que descobriram a ameaça, observam que o Chaos Malware está evoluindo rapidamente e está se transformando em uma potente ameaça de ransomware que pode causar muitos danos se for liberada na natureza. Por enquanto, pelo menos, o Chaos Malware não foi usado em campanhas de ataque ativo.

A Encarnação Inicial como um Wiper

A primeira versão do Chaos Malware exibiu algumas características peculiares. A ameaça foi promovida como uma variante baseada no infame Ryuk Ransomware, mas uma olhada no código subjacente mostrou claramente que isso simplesmente não é verdade. Além disso, apesar de ser descrito como ransomware, essa versão inicial da ameaça era mais semelhante a um wiper. Ele substituiu o conteúdo dos arquivos afetados por bytes aleatórios e os codificou em Base64. Como tal, os dados são perdidos tecnicamente e as vítimas não tiveram nenhum incentivo para pagar um resgate aos atacantes, que é o principal motivo para o lançamento de ameaças de ransomware. Essa versão também possuía recursos semelhantes aos de worm, que permitiam que ela se propagasse por meio de uma mídia removível. O Chaos Malware 1.0 exibiu uma nota de resgate dentro de um arquivo de ransomware chamado 'read_it.txt' e solicitou que 0,147 BTC (Bitcoin) fosse transferido para os atacantes. Na taxa de câmbio atual da cripto-moeda, isso equivale a mais de $6.800.

As Versões Subsequentes Mostram uma Evolução Rápida

A versão inicial da ameaça foi lançada em junho de 2021. No entanto, nos próximos dois meses, os pesquisadores de infosec notaram três novas versões que expandiram muito as capacidades do Chaos Malware, o que o deixou mais alinhado com o que se espera de um ameaça de ransomware. A versão 2.0 viu a ameaça começar a excluir as Cópias do Shadow Volume e o catálogo de backup nos sistemas comprometidos. Desde então, ele também pode desativar o modo de recuperação do Windows. No entanto, foi um wiper que sobrescreveu os arquivos visados. 

Esse comportamento finalmente começou a mudar com a versão 3.0, que introduziu a criptografia AES + RSA para arquivos com menos de 1 MB. A última versão observada do Chaos Malware emprega a mesma combinação dos algoritmos criptográficos AES e RSA, mas é capaz de bloquear arquivos com menos de 2 MB. Ele permite que o agente da ameaça personalize a extensão usada para os arquivos criptografados. A ameaça também pode ser instruída a alterar a imagem padrão da área de trabalho nos sistemas infectados.