Chaos Malware fejlagtigt annonceret som Ryuk -klon

Sikkerhedsforskere har udvalgt en ny malware -stamme, som de nu kalder kaos. Malwaren har været på deres radar i et kort stykke tid, først opdaget i juni 2021, og det ser ud til, at de dårlige aktører bag den skifter gear og gør sig klar til at starte den til sin første udflugt i naturen.

Kaos har ikke været brugt i en aktiv angrebs- eller trusselkampagne hidtil, men det ser ud til, at dette øjeblik ikke er for langt. Hackerne, der udvikler det og publicerer opdateringer på mørke webfora, har øget deres opdateringsplan, og Chaos kan snart være klar til sin første udflugt i naturen. Malwaren har gennemgået fire betydelige opdateringer på bare to måneder.

Forskere, der arbejder med Trend Micro, analyserede Kaos og opdagede et par interessante ting om det. For et produkt, der snart kan sælges til andre spirende hackere, lyver Chaos meget. Først og fremmest foregiver det at være en gaffel af den berygtede Ryuk ransomware, men kodet i .NET. Dette er skiltet selv på løsepenge skærmen, der indeholder sedlen og krypto tegnebog strenge.

Da Trend Micro -forsker Monte de Jesus plukkede malware -indersiden fra hinanden, viste det sig imidlertid, at dette langt fra er tilfældet. Kaos fungerer på en måde, der gør det mere ligner en "destruktiv trojan" end en almindelig ransomware.

Inden det krypterer filer, erstatter Chaos deres indhold med tilfældige bytes. Dette betyder faktisk, at selvom et offer betalte løsesummen og fik dekrypteringsnøglen, ville de simpelthen dekryptere deres filer til store klatter tilfældige data.

En besynderlig tilføjelse til værktøjssættet Chaos besidder, ud over dets viskeregenskaber, er dets evne til at sprede sig til alle drev, der er forbundet til offersystemet. Dette er et problem, fordi denne ormekapacitet også dækker flytbare drev.

Malwarens løsesum hedder "read_it.txt". Heri beder Chaos om godt 6 tusind dollars i bitcoin.

Da malware blev opdateret, begyndte den langsomt at opføre sig mere som traditionel ransomware. Gradvise opdateringer introducerede muligheden for korrekt at kryptere små filstørrelser uden først at ødelægge de originale data i dem. Selv i sin seneste iteration er Chaos imidlertid ikke en fuldgyldig, ordentlig ransomware. Det vil sandsynligvis ændre sig, efterhånden som hackerne bag det udvikler det yderligere. Dette reducerer imidlertid ikke den fare, Chaos udgør som et destruktivt dataviskerværktøj.