Há um malware recém-desenvolvido no radar dos pesquisadores de segurança que acreditam que ele poderá ser liberado em breve. o malware, que ainda está em construção, é chamado de Caos e foi visto em anúncios underground, onde é oferecido para teste. É digno de nota que o Chaos é anunciado como ransomware, mas a análise mostra que está mais próximo das características de um limpador.
“Desde junho 2021, temos monitorado um construtor de ransomware em desenvolvimento chamado Caos, que está sendo oferecido para teste em um fórum clandestino. Embora seja supostamente uma versão .NET do Ryuk, um exame mais detalhado da amostra revela que ela não compartilha muito com o notório ransomware,”O pesquisador da Trend Micro, Monte de Jesus, escreveu em um artigo.
relacionado: ter cuidado! Ryuk Ransomware mais cruel com a nova capacidade semelhante a um worm
Quatro versões diferentes do Chaos Ransomware observadas até agora
Parece que o limpador está em sua quarta versão, e é mais semelhante a um trojan destrutivo do que o ransomware tradicional. Em termos de sua evolução, Jesus diz que o processo está se desenvolvendo muito rapidamente: “O caos passou por uma rápida evolução desde sua primeira versão até a atual iteração, com versão 1.0 tendo sido lançado em junho 9, versão 2.0 em Junho 17, versão 3.0 em julho 5, e versão 4.0 em agosto. 5.”
A primeira versão do Chaos tinha a marca Ryuk em sua GUI, mas essa é a única semelhança compartilhada com o infame ransomware. Em vez de criptografia de arquivo, a primeira iteração do Chaos substituiu o conteúdo dos arquivos por bytes aleatórios, em seguida, codificando-os em Base64. Em vez de deixar a opção de descriptografia de arquivo, O caos alterou arquivos a ponto de não poderem ser restaurados, deixando as vítimas sem incentivo para pagar o resgate.
O caos apresentou algumas características que lembram o ransomware, como localizar certos caminhos de arquivo e locais para infectar. Ele também deixou cair uma nota de resgate dobrada com o reconhecível read_it.txt, onde citava um pedido de resgate em Bitcoin.
Vale a pena mencionar que Versão caos 1.0 também apresentou uma função de vermifugação, permitindo que se espalhe por todas as unidades do sistema comprometido. Esta função também possibilitou ao Chaos alcançar drives removíveis e escapar de sistemas sem ar.
A respeito versão 2.0? Jesus diz que o malware ainda sobrescreve os arquivos de seus alvos. Contudo, porque seus arquivos não puderam ser restaurados, as vítimas se recusaram a pagar o resgate, como é evidente nas postagens dos fóruns.
Versão caos 3.0 deu ao malware a capacidade de criptografar arquivos com menos de 1MV via AES / RSA, colocando-o mais perto do que o ransomware tradicional geralmente faz. A terceira versão também veio com seu próprio construtor de descriptografador.
Versão caos 4.0 expande a criptografia AES / RSA aumentando o limite superior de arquivos que podem ser criptografados para 2 MB. Ele também permite que os usuários do construtor de ransomware adicionem suas próprias extensões de arquivo e alterem o papel de parede da área de trabalho das vítimas.
relacionado: Marcadores solares: Um Multi-Stage, Porta traseira fortemente ofuscada
Em conclusão…
A Trend Micro afirma não ter visto nenhuma infecção ativa ou vítima do ransomware Chaos. "No entanto, nas mãos de um agente malicioso que tem acesso à distribuição de malware e infraestrutura de implantação, pode causar grandes danos às organizações,” as notas de análise.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: