Malware Chaos anunciado falsamente como Ryuk Clone

Los investigadores de seguridad han estado separando una nueva cepa de malware, a la que ahora llaman Caos. El malware ha estado en su radar durante un corto tiempo, detectado por primera vez en junio de 2021, y parece que los malos actores detrás de él están cambiando de marcha y preparándose para lanzarlo para su primera salida en la naturaleza.

El caos no se ha utilizado en un ataque activo o en una campaña de amenazas hasta ahora, pero parece que este momento no está demasiado lejos. Los piratas informáticos que lo desarrollan y publican actualizaciones en los foros de la web oscura han estado aumentando su calendario de actualizaciones y Chaos pronto podría estar listo para su primera excursión en la naturaleza. El malware ha pasado por cuatro actualizaciones importantes en solo dos meses.

Los investigadores que trabajan con Trend Micro analizaron Chaos y descubrieron algunas cosas interesantes al respecto. Para un producto que pronto podría estar a la venta a otros piratas informáticos en ciernes, Chaos miente mucho. En primer lugar, pretende ser una bifurcación del infame ransomware Ryuk, pero codificado en .NET. Esto está indicado incluso en la pantalla de rescate que contiene la nota y las cadenas de la billetera criptográfica.

Sin embargo, cuando el investigador de Trend Micro, Monte de Jesus, analizó las entrañas del malware, resultó que esto está lejos de ser el caso. Chaos opera de una manera que lo hace más similar a un "troyano destructivo" que a un ransomware normal.

Antes de encriptar archivos, Chaos reemplaza su contenido con bytes aleatorios. Esto significa efectivamente que incluso si una víctima pagara el rescate y obtuviera la clave de descifrado, simplemente descifraría sus archivos en grandes cantidades de datos aleatorios.

Una adición curiosa al conjunto de herramientas que posee Chaos, además de sus propiedades de limpiaparabrisas, es su capacidad para propagarse a todas y cada una de las unidades conectadas al sistema de la víctima. Esto es un problema porque esta capacidad de desparasitación también cubre las unidades extraíbles.

La nota de rescate del malware se llama "read_it.txt". En él, Chaos pide poco más de $ 6 mil en bitcoins.

A medida que se actualizaba el malware, poco a poco comenzó a comportarse más como un ransomware tradicional. Las actualizaciones graduales introdujeron la capacidad de cifrar correctamente archivos pequeños sin destruir primero los datos originales en ellos. Sin embargo, incluso en su última versión, Chaos no es un ransomware adecuado y completo. Eso probablemente cambiará a medida que los piratas informáticos lo desarrollen aún más. Sin embargo, esto no disminuye el peligro que representa el Caos como una herramienta de limpieza de datos destructiva.