Вредоносное ПО Хаоса

Вредоносное ПО Chaos - это угроза, которая находится в стадии активной разработки и предлагается на подпольных хакерских форумах. Исследователи Infosec, обнаружившие угрозу, отмечают, что вредоносное ПО Chaos быстро развивается и превращается в мощную угрозу вымогателя, которая потенциально может нанести большой ущерб, если будет выпущена в дикой природе. По крайней мере, на данный момент вредоносное ПО Chaos не использовалось в кампаниях активных атак.

Первоначальное воплощение дворника

Первая версия Chaos Malware обладала некоторыми особенностями. Угроза рекламировалась как вариант, основанный на печально известной программе- вымогателе Ryuk , но взгляд на базовый код ясно показал, что это просто неправда. Более того, несмотря на то, что эта первоначальная версия угрозы описывалась как программа-вымогатель, она больше походила на вайпер. Он заменил содержимое затронутых файлов случайными байтами, а затем закодировал их в Base64. Таким образом, данные технически потеряны, и у жертв не было стимула платить выкуп злоумышленникам, что является основной причиной распространения угроз вымогателей. Эта версия также обладала червеобразными способностями, что позволяло ей распространяться через съемные носители. Chaos Malware 1.0 поместил записку с требованием выкупа в файл с именем «read_it.txt» и попросил передать злоумышленникам 0,147 BTC (биткойн). По текущему обменному курсу криптовалюты это составляет более 6800 долларов.

Последующие версии демонстрируют быстрое развитие

Первоначальная версия угрозы была выпущена в июне 2021 года. Однако в следующие пару месяцев исследователи информационной безопасности заметят три новые версии, которые значительно расширили возможности вредоносного ПО Chaos, что привело его в большее соответствие с тем, что ожидается от угроза вымогателя. В версии 2.0 началась угроза удаления теневых копий томов и каталога резервных копий на скомпрометированных системах. Теперь он также может отключить режим восстановления Windows. Однако это все еще был очиститель, который перезаписывал целевые файлы.

Это поведение, наконец, начало меняться с версией 3.0, поскольку в ней было введено шифрование AES + RSA для файлов размером менее 1 МБ. Последняя наблюдаемая версия Chaos Malware использует ту же комбинацию криптографических алгоритмов AES и RSA, но способна блокировать файлы размером менее 2 МБ. Это позволяет злоумышленнику настроить расширение, используемое для зашифрованных файлов. Угроза также может получить указание изменить образ рабочего стола по умолчанию в зараженных системах.