Caos: Nuevo ransomware en desarrollo

Hay un malware desarrollado recientemente en el radar de los investigadores de seguridad que creen que pronto podría ser liberado.. el software malicioso, que todavía está en construcción, se llama Caos y fue visto en anuncios clandestinos donde se ofrece para probar. Es de destacar que Chaos se anuncia como ransomware, pero el análisis muestra que se acerca más a las características de un limpiaparabrisas.

"Desde junio 2021, hemos estado supervisando un generador de ransomware en desarrollo llamado Caos, que se ofrece para probar en un foro clandestino. Aunque supuestamente es una versión .NET de Ryuk, un examen más detenido de la muestra revela que no comparte mucho con el notorio ransomware,"El investigador de Trend Micro, Monte de Jesus, escribió en un artículo.

Relacionado: Tener cuidado! Ryuk Ransomware más vicioso con una nueva capacidad similar a un gusano

Cuatro versiones diferentes de Chaos Ransomware observadas hasta ahora

Parece que el limpiaparabrisas está en su cuarta versión., y es más similar a un troyano destructivo que al ransomware tradicional. En cuanto a su evolución, Jesús dice que el proceso se ha desarrollado con bastante rapidez.: “Chaos ha experimentado una rápida evolución desde su primera versión hasta su iteración actual, con versión 1.0 habiendo sido puesto en libertad en junio 9, versión 2.0 en Junio 17, versión 3.0 en julio 5, y la versión 4.0 en agosto. 5.”

La primera versión de Chaos tenía la marca Ryuk en su GUI, pero esa es la única similitud que comparte con el infame ransomware. En lugar de cifrado de archivos, la primera iteración de Chaos reemplazó el contenido de los archivos con bytes aleatorios, luego codifícalos en Base64. En lugar de dejar la opción de descifrar archivos, El caos alteró los archivos hasta el punto en que no se pudieron restaurar, dejando a las víctimas sin incentivos para pagar el rescate.

El caos mostró algunas características que recuerdan al ransomware, como localizar determinadas rutas de archivo y ubicaciones para infectar. También dejó caer una nota de rescate con el reconocible read_it.txt donde citó una demanda de rescate en Bitcoin..

Vale la pena mencionar que Versión caos 1.0 también presentó una función antiparasitaria, permitiendo que se extienda a todas las unidades del sistema comprometido. Esta función también hizo posible que Chaos llegara a las unidades extraíbles y escapase de los sistemas con espacios de aire..

Qué pasa versión 2.0? Jesús dice que el malware aún sobrescribió los archivos de sus objetivos. Sin embargo, porque sus archivos no se pudieron restaurar, las víctimas se negaron a pagar el rescate, como lo demuestran las publicaciones de los foros.

Versión caos 3.0 le dio al malware la capacidad de cifrar archivos por debajo de 1MV a través de AES / RSA, acercándolo a lo que suele hacer el ransomware tradicional. La tercera versión también vino con su propio constructor de descifradores..

Versión caos 4.0 expande el cifrado AES / RSA aumentando el límite superior de archivos que se pueden cifrar para 2 MB. También permite a los usuarios del generador de ransomware agregar sus propias extensiones de archivo y cambiar el fondo de escritorio de las víctimas..

Relacionado: Marcadores solares: Una etapa múltiple, Puerta trasera muy ofuscada

En conclusión…
Trend Micro dice que no ha visto ninguna infección activa ni víctimas del ransomware Chaos. "Sin embargo, en manos de un actor malintencionado que tiene acceso a la infraestructura de distribución e implementación de malware, podría causar un gran daño a las organizaciones," las notas de análisis.