Der er en nyudviklet malware på radaren for sikkerhedsforskere, der mener, at den snart kan frigives i naturen. den malware, som stadig er under opførelse, kaldes Kaos og blev spottet i underjordiske annoncer, hvor det tilbydes til test. Det er bemærkelsesværdigt, at Chaos annonceres som ransomware, men analyse viser, at det er tættere på egenskaberne ved a vinduesvisker.
“Siden juni 2021, vi har overvåget en ransomware-builder under udvikling Kaos, som tilbydes til test på et underjordisk forum. Selvom det angiveligt er en .NET -version af Ryuk, nærmere undersøgelse af prøven afslører, at den ikke deler meget med den berygtede ransomware,”Trend Micros forsker Monte de Jesus skrev i en artikel.
Relaterede: Pas! Ryuk Ransomware mere ondskabsfuld med ny ormlignende kapacitet
Fire forskellige versioner af Chaos Ransomware observeret indtil videre
Det ser ud til, at viskeren er i sin fjerde version, og ligner mere en destruktiv trojan end traditionel ransomware. Med hensyn til dens udvikling, Jesus siger, at processen har udviklet sig ret hurtigt: “Kaos har gennemgået en hurtig udvikling fra sin allerførste version til den nuværende iteration, med version 1.0 blev frigivet i juni 9, udgave 2.0 juni 17, udgave 3.0 på juli 5, og version 4.0 den aug. 5.”
Den første version af Chaos havde Ryuk -branding i sin GUI, men det er den eneste lighed, den delte med den berygtede ransomware. I stedet for filkryptering, den første iteration af Chaos erstattede filernes indhold med tilfældige bytes, derefter kodning dem i Base64. I stedet for at forlade muligheden for fildekryptering, Kaos ændrede filer til det punkt, hvor de ikke kunne gendannes, efterlader ofre uden incitament til at betale løsesummen.
Kaos viste nogle egenskaber, der minder om ransomware, såsom at finde bestemte filstier og placeringer, der skal inficeres. Det droppede også en løsesum noteret med den genkendelige read_it.txt, hvor den citerede et krav om en løsesum i Bitcoin.
Det er værd at nævne, at Kaos version 1.0 præsenterede også en ormefunktion, gør det muligt at sprede sig til alle drev på det kompromitterede system. Denne funktion gjorde det også muligt for Chaos at nå aftagelige drev og flygte fra luftgapede systemer.
Hvad med udgave 2.0? Jesus siger, at malware stadig overskriver filerne af dets mål. Men, fordi deres filer ikke kunne gendannes, ofrene nægtede at betale løsesummen, som det fremgår af forums indlæg.
Kaos version 3.0 gav malware muligheden for at kryptere filer under 1MV via AES/RSA, sætte det tættere på, hvad traditionel ransomware normalt gør. Den tredje version kom også med sin egen dekrypteringsbygger.
Kaos version 4.0 udvider AES/RSA -krypteringen ved at øge den øvre grænse for filer, der kan krypteres til 2 MB. Det gør det også muligt for brugerne af ransomware -bygmesteren at tilføje deres egne filudvidelser og ændre skrivebordsbaggrunden for ofre.
Relaterede: Solmarkører: Et multistadium, Kraftigt tilsløret bagdør
Afslutningsvis…
Trend Micro siger, at det ikke har set nogen aktive infektioner eller ofre for Chaos ransomware. "Imidlertid, i hænderne på en ondsindet aktør, der har adgang til malware -distribution og implementeringsinfrastruktur, det kan forårsage stor skade for organisationer," analysen bemærker.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: