Yashma Ransomware udvikler sig fra kaos

En ny variant, der tilhører Chaos ransomware-familien, er blevet undersøgt af forskere med sikkerhedsfirmaet Blackberry.

Den nye variant hedder Yashma og er en lille opgradering i forhold til mulighederne og funktionslisten for den seneste iteration af Chaos ransomware i dens 5.0 version.

Chaos 5.0 kunne prale af flere nye evner, herunder at være i stand til at kryptere filer, der ikke er på systemdrevet, deaktivere Windows Task Manager og til sidst slette sig selv.

Yashma, den nyeste iteration og opgradering af, hvad der i bund og grund er det samme ransomware-værktøjssæt, er blevet opgraderet med flere nye funktioner. Yashma kan sløre sig selv ved at stole på et sløringsværktøj kompileret ved hjælp af .NET og kaldet Confuser 1.9.0. For at gøre filgendannelse og gendannelse mere problematisk, kan Yashma også dræbe offerets backup-tjenester.

Endelig har Yashma også modtaget en opsigelsesprotokol, der lukker ransomware ned i specifikke territorier, sandsynligvis for at undgå mål i dets oprindelsesland, ifølge Blackberry.

De første prøver af Yashma blev observeret i maj 2022. Chaos ransomware, den er baseret på, brugte til gengæld Ryuk som et springbræt, oprindeligt annonceret som en .NET-baseret version af Ryuk.