Chaos-Malware fälschlicherweise als Ryuk Clone beworben

Sicherheitsforscher haben einen neuen Malware-Stamm auseinander genommen, den sie jetzt Chaos nennen. Die Malware ist seit kurzer Zeit auf ihrem Radar und wurde erstmals im Juni 2021 entdeckt, und es sieht so aus, als würden die bösen Akteure dahinter die Gänge wechseln und sich darauf vorbereiten, sie für ihren ersten Ausflug in die Wildnis zu starten.

Chaos wurde bisher noch nicht in einer aktiven Angriffs- oder Bedrohungskampagne eingesetzt, aber es scheint, dass dieser Moment nicht zu weit ist. Die Hacker, die es entwickeln und Updates in Dark-Web-Foren veröffentlichen, haben ihren Update-Zeitplan erhöht und Chaos könnte bald bereit sein für seinen ersten Ausflug in die Wildnis. Die Malware hat in nur zwei Monaten vier bedeutende Updates durchlaufen.

Forscher, die mit Trend Micro arbeiten, haben Chaos analysiert und dabei einige interessante Dinge entdeckt. Für ein Produkt, das bald an andere angehende Hacker verkauft werden könnte, lügt Chaos viel. Zunächst einmal gibt es vor, ein Fork der berüchtigten Ryuk-Ransomware zu sein, aber in .NET codiert. Dies ist sogar auf dem Lösegeldbildschirm mit den Zeichenfolgen für die Notiz und die Krypto-Wallet ausgeschildert.

Als Trend Micro-Forscher Monte de Jesus jedoch die Innereien der Malware zerlegte, stellte sich heraus, dass dies bei weitem nicht der Fall ist. Chaos funktioniert auf eine Weise, die es eher einem „zerstörerischen Trojaner“ ähnelt als einer normalen Ransomware.

Bevor es Dateien verschlüsselt, ersetzt Chaos deren Inhalt durch zufällige Bytes. Dies bedeutet effektiv, dass selbst wenn ein Opfer das Lösegeld bezahlt und den Entschlüsselungsschlüssel erhalten würde, es seine Dateien einfach in große Blöcke zufälliger Daten entschlüsseln würde.

Eine merkwürdige Ergänzung des Toolkits, das Chaos zusätzlich zu seinen Wiper-Eigenschaften besitzt, ist seine Fähigkeit, sich auf alle Laufwerke auszubreiten, die mit dem Opfersystem verbunden sind. Dies ist ein Problem, da diese Wurmfunktion auch Wechsellaufwerke abdeckt.

Die Lösegeldforderung der Malware heißt "read_it.txt". Darin verlangt Chaos etwas mehr als 6.000 Dollar in Bitcoin.

Als die Malware aktualisiert wurde, verhielt sie sich langsam eher wie herkömmliche Ransomware. Mit schrittweisen Updates wurde die Möglichkeit eingeführt, kleine Dateigrößen ordnungsgemäß zu verschlüsseln, ohne die ursprünglichen Daten in ihnen zuerst zu zerstören. Aber selbst in seiner neuesten Version ist Chaos keine vollwertige, richtige Ransomware. Das wird sich wahrscheinlich ändern, wenn die Hacker dahinter es weiterentwickeln. Dies mindert jedoch nicht die Gefahr, die Chaos als zerstörerisches Werkzeug zum Löschen von Daten darstellt.