C'è un malware di nuova concezione sul radar dei ricercatori di sicurezza che credono che potrebbe essere rilasciato presto in natura. il malware, che è ancora in costruzione, si chiama Chaos ed è stato avvistato negli annunci sotterranei dove viene offerto per i test. È interessante notare che Chaos è pubblicizzato come ransomware, ma l'analisi mostra che è più vicino alle caratteristiche di a tergicristallo.
“Da giugno 2021, abbiamo monitorato un generatore di ransomware in fase di sviluppo chiamato Caos, che viene offerto per il test su un forum sotterraneo. Sebbene sia presumibilmente una versione .NET di Ryuk, un esame più attento del campione rivela che non condivide molto con il famigerato ransomware,” Il ricercatore di Trend Micro Monte de Jesus ha scritto in un articolo.
Correlata: stare in guardia! Ryuk Ransomware più vizioso con la nuova funzionalità simile a un worm
Quattro diverse versioni di Chaos Ransomware osservate finora
Sembra che il tergicristallo sia alla sua quarta versione, ed è più simile a un trojan distruttivo rispetto al ransomware tradizionale. Per quanto riguarda la sua evoluzione, Gesù dice che il processo si è sviluppato abbastanza rapidamente: “Chaos ha subito una rapida evoluzione dalla sua primissima versione alla sua attuale iterazione, con versione 1.0 essendo stato rilasciato a giugno 9, versione 2.0 a giugno 17, versione 3.0 a luglio 5, e la versione 4.0 ad agosto. 5.”
La prima versione di Chaos aveva il marchio Ryuk nella sua GUI, ma questa è l'unica somiglianza che condivideva con il famigerato ransomware. Invece della crittografia dei file, la prima iterazione di Chaos ha sostituito il contenuto dei file con byte casuali, quindi codificarli in Base64. Piuttosto che lasciare l'opzione per la decrittazione dei file, Il caos ha alterato i file al punto da non poter essere ripristinati, lasciando le vittime senza alcun incentivo a pagare il riscatto.
Il caos ha mostrato alcune caratteristiche che ricordano il ransomware, come individuare determinati percorsi di file e posizioni da infettare. Ha anche rilasciato una richiesta di riscatto doppiata con il riconoscibile read_it.txt in cui citava una richiesta di riscatto in Bitcoin.
Vale la pena ricordare che Versione del caos 1.0 presentava anche una funzione di sverminazione, permettendogli di diffondersi a tutte le unità sul sistema compromesso. Questa funzione ha anche permesso a Chaos di raggiungere unità rimovibili e fuggire da sistemi air-gap.
Che dire versione 2.0? Gesù dice che il malware ha ancora sovrascritto i file dei suoi obiettivi. Tuttavia, perché i loro file non possono essere ripristinati, le vittime si sono rifiutate di pagare il riscatto, come evidente dai post del forum.
Versione del caos 3.0 ha dato al malware la capacità di crittografare i file sotto 1MV tramite AES/RSA, avvicinandosi a ciò che fa di solito il ransomware tradizionale. Anche la terza versione è arrivata con il proprio costruttore di decrypter.
Versione del caos 4.0 espande la crittografia AES/RSA aumentando il limite superiore di file che possono essere crittografati a 2 MB. Consente inoltre agli utenti del generatore di ransomware di aggiungere le proprie estensioni di file e modificare lo sfondo del desktop delle vittime.
Correlata: Marcatori solari: Un multi-stadio, Backdoor pesantemente offuscato
In conclusione…
Trend Micro afferma di non aver rilevato infezioni attive o vittime del ransomware Chaos. "Tuttavia, nelle mani di un malintenzionato che ha accesso all'infrastruttura di distribuzione e distribuzione di malware, potrebbe causare gravi danni alle organizzazioni," le note di analisi.