Chaos Malware

Chaos Malware är ett hot under aktiv utveckling samtidigt som det erbjuds på underjordiska hackerforum. Infosec -forskare som upptäckte hotet noterar att Chaos Malware utvecklas snabbt och förvandlas till ett potentiellt ransomware -hot som potentiellt kan orsaka mycket skada om det släpps i naturen. För tillfället har Chaos Malware åtminstone inte använts i aktiva attackkampanjer.

Initial Wiper Inkarnation

Den första versionen av Chaos Malware uppvisade några särdrag. Hotet marknadsfördes som en variant baserad på den ökända Ryuk Ransomware, men en titt på den underliggande koden visade tydligt att detta helt enkelt inte är sant. Trots att den beskrivs som ransomware var denna initiala version av hotet mer lik en torkare. Den ersatte innehållet i de berörda filerna med slumpmässiga byte och kodade dem sedan i Base64. Som sådan förloras data tekniskt och offren hade inget incitament att betala lösen till angriparna, vilket är huvudorsaken till att släppa hot om ransomware. Denna version innehöll också maskliknande funktioner, vilket gjorde att den kunde spridas via flyttbara medier. Chaos Malware 1.0 släppte en lösensedel i en fil som heter en ransomware -anteckning med namnet 'read_it.txt' och bad om att 0.147 BTC (Bitcoin) skulle överföras till angriparna. Med den nuvarande växelkursen för kryptovalutan uppgår det till mer än 6 800 dollar.

Efterföljande versioner visar snabb utveckling

Den första versionen av hotet släpptes i juni 2021. Men under de närmaste månaderna skulle infosec -forskare märka tre nya versioner som utökade möjligheterna för Chaos Malware kraftigt, vilket gjorde det mer i linje med vad som förväntas av en hot om ransomware. Version 2.0 såg att hotet började ta bort Shadow Volume Copies och backup -katalogen på de komprometterade systemen. Det kan nu också inaktivera Windows Recover -läge. Det var dock fortfarande en torkare som skrev över de riktade filerna.

Detta beteende började äntligen förändras med 3.0 -versionen, eftersom det introducerade AES + RSA -kryptering för filer under 1 MB. Den senaste observerade versionen av Chaos Malware använder samma kombination av AES- och RSA -kryptografiska algoritmer men kan låsa filer under 2 MB. Det gör det möjligt för hotaktören att anpassa tillägget som används för de krypterade filerna. Hotet kan också instrueras att ändra standard skrivbordsbild på de infekterade systemen.