Yashma Ransomware entwickelt sich aus Chaos

Eine neue Variante der Ransomware-Familie Chaos wurde von Forschern des Sicherheitsunternehmens Blackberry untersucht.

Die neue Variante heißt Yashma und ist ein leichtes Upgrade der Fähigkeiten und der Funktionsliste der neuesten Iteration der Chaos-Ransomware in der Version 5.0.

Chaos 5.0 verfügte über mehrere neue Fähigkeiten, darunter die Möglichkeit, Dateien zu verschlüsseln, die sich nicht auf dem Systemlaufwerk befinden, den Windows Task-Manager zu deaktivieren und sich schließlich selbst zu löschen.

Yashma, die neueste Iteration und das neueste Upgrade dessen, was im Wesentlichen das gleiche Ransomware-Toolkit ist, wurde mit mehreren neuen Funktionen aktualisiert. Yashma kann sich selbst verschleiern, indem es sich auf ein Verschleierungstool stützt, das mit .NET kompiliert wurde und Confuser 1.9.0 heißt. Um die Wiederherstellung und Wiederherstellung von Dateien problematischer zu machen, kann Yashma auch die Backup-Dienste des Opfers beenden.

Schließlich hat Yashma auch ein Beendigungsprotokoll erhalten, das die Ransomware in bestimmten Gebieten abschaltet, um laut Blackberry wahrscheinlich Ziele in ihrem Ursprungsland zu vermeiden.

Die ersten Proben von Yashma wurden im Mai 2022 beobachtet. Die Chaos-Ransomware, auf der sie basierte, nutzte wiederum Ryuk als Sprungbrett, das ursprünglich als .NET-basierte Version von Ryuk beworben wurde.