Το Chaos Malware διαφημίστηκε ψευδώς ως Ryuk Clone

Οι ερευνητές ασφαλείας διαλέγουν ένα νέο είδος κακόβουλου λογισμικού, το οποίο τώρα ονομάζουν Chaos. Το κακόβουλο λογισμικό ήταν στο ραντάρ τους για λίγο, εντοπίστηκε για πρώτη φορά τον Ιούνιο του 2021 και φαίνεται ότι οι κακοί ηθοποιοί πίσω του αλλάζουν ταχύτητα και ετοιμάζονται να το ξεκινήσουν για την πρώτη του έξοδο στη φύση.

Το χάος δεν έχει χρησιμοποιηθεί σε ενεργή εκστρατεία επίθεσης ή απειλής μέχρι στιγμής, αλλά φαίνεται ότι αυτή η στιγμή δεν είναι πολύ μακριά. Οι χάκερ που το αναπτύσσουν και δημοσιεύουν ενημερώσεις σε σκοτεινά φόρουμ ιστού έχουν αυξήσει το πρόγραμμα ενημέρωσής τους και το Chaos μπορεί σύντομα να είναι έτοιμο για την πρώτη του εκδρομή στη φύση. Το κακόβουλο λογισμικό έχει περάσει από τέσσερις σημαντικές ενημερώσεις σε διάστημα μόλις δύο μηνών.

Οι ερευνητές που συνεργάζονται με την Trend Micro ανέλυσαν το Chaos και ανακάλυψαν μερικά ενδιαφέροντα πράγματα σχετικά με αυτό. Για ένα προϊόν που μπορεί σύντομα να πωληθεί σε άλλους εκκολαπτόμενους χάκερ, το Chaos λέει πολλά ψέματα. Πρώτα απ 'όλα, προσποιείται ότι είναι ένα πιρούνι του διαβόητου ransomware Ryuk, αλλά κωδικοποιήθηκε στο .NET. Αυτό επισημαίνεται ακόμη και στην οθόνη των λύτρων που περιέχει τις συμβολοσειρές του πορτοφολιού σημείωσης και κρυπτογράφησης.

Ωστόσο, όταν ο ερευνητής της Trend Micro, Monte de Jesus διέκρινε τα εσωτερικά του κακόβουλου λογισμικού, αποδείχθηκε ότι αυτό απέχει πολύ από την περίπτωση. Το χάος λειτουργεί με τρόπο που το κάνει πιο παρόμοιο με ένα "καταστροφικό trojan" παρά με ένα κανονικό ransomware.

Πριν κρυπτογραφήσει αρχεία, το Chaos αντικαθιστά το περιεχόμενό τους με τυχαία byte. Αυτό σημαίνει ουσιαστικά ότι ακόμη και αν ένα θύμα πλήρωνε τα λύτρα και έπαιρνε το κλειδί αποκρυπτογράφησης, απλώς αποκρυπτογραφούσε τα αρχεία του σε μεγάλες σταγόνες τυχαίων δεδομένων.

Μια περίεργη προσθήκη στο σετ εργαλείων που διαθέτει το Chaos, εκτός από τις ιδιότητες του υαλοκαθαριστήρα, είναι η ικανότητά του να εξαπλώνεται σε όλες τις μονάδες που συνδέονται με το σύστημα του θύματος. Αυτό είναι ένα ζήτημα επειδή αυτή η δυνατότητα σκουλήκι καλύπτει επίσης αφαιρούμενους δίσκους.

Η σημείωση λύτρων του κακόβουλου λογισμικού ονομάζεται "read_it.txt". Σε αυτό, το Chaos ζητά λίγο παραπάνω από 6 χιλιάδες δολάρια σε bitcoin.

Καθώς το κακόβουλο λογισμικό ενημερώθηκε, άρχισε σιγά σιγά να συμπεριφέρεται περισσότερο σαν παραδοσιακό ransomware. Οι σταδιακές ενημερώσεις εισήγαγαν τη δυνατότητα σωστής κρυπτογράφησης μικρών μεγεθών αρχείων χωρίς να καταστραφούν πρώτα τα αρχικά δεδομένα σε αυτά. Ωστόσο, ακόμη και στην τελευταία του επανάληψη, το Chaos δεν είναι ένα πλήρες, σωστό ransomware. Αυτό πιθανότατα θα αλλάξει καθώς οι χάκερ πίσω του το αναπτύσσουν περαιτέρω. Αυτό, ωστόσο, δεν μειώνει τον κίνδυνο που δημιουργεί το Χάος ως καταστροφικό εργαλείο καθαρισμού δεδομένων.