Chaos Malware faussement annoncé comme Ryuk Clone

Les chercheurs en sécurité ont identifié une nouvelle souche de logiciels malveillants, qu'ils appellent désormais Chaos. Le malware est sur leur radar depuis peu de temps, repéré pour la première fois en juin 2021, et il semble que les mauvais acteurs derrière lui changent de vitesse et se préparent à le lancer pour sa première sortie dans la nature.

Le chaos n'a pas été utilisé dans une attaque active ou une campagne de menace jusqu'à présent, mais il semble que ce moment ne soit pas trop loin. Les pirates qui le développent et publient des mises à jour sur des forums Web sombres ont accéléré leur calendrier de mise à jour et Chaos pourrait bientôt être prêt pour sa première excursion dans la nature. Le malware a subi quatre mises à jour importantes en seulement deux mois.

Les chercheurs travaillant avec Trend Micro ont analysé Chaos et découvert quelques éléments intéressants à son sujet. Pour un produit qui pourrait bientôt être mis en vente à d'autres hackers en herbe, Chaos ment beaucoup. Tout d'abord, il prétend être un fork du tristement célèbre ransomware Ryuk, mais codé en .NET. Ceci est signalé même sur l'écran de rançon contenant les chaînes de note et de portefeuille crypto.

Cependant, lorsque le chercheur de Trend Micro, Monte de Jesus, a démonté les entrailles du malware, il s'est avéré que c'était loin d'être le cas. Chaos fonctionne d'une manière qui le rend plus semblable à un « cheval de Troie destructeur » qu'à un ransomware ordinaire.

Avant de crypter les fichiers, Chaos remplace leur contenu par des octets aléatoires. Cela signifie en fait que même si une victime payait la rançon et obtenait la clé de déchiffrement, elle déchiffrerait simplement ses fichiers en gros blocs de données aléatoires.

Un ajout curieux à la boîte à outils que possède Chaos, en plus de ses propriétés d'essuie-glace, est sa capacité à se propager à tous les lecteurs connectés au système victime. C'est un problème car cette capacité de vermifuge couvre également les lecteurs amovibles.

La demande de rançon du malware s'appelle "read_it.txt". Dans ce document, Chaos demande un peu plus de 6 000 $ en bitcoins.

Au fur et à mesure que le malware a été mis à jour, il a lentement commencé à se comporter davantage comme un ransomware traditionnel. Les mises à jour progressives ont introduit la possibilité de crypter correctement les fichiers de petite taille sans détruire au préalable les données d'origine qu'ils contiennent. Cependant, même dans sa dernière itération, Chaos n'est pas un ransomware à part entière et approprié. Cela changera probablement à mesure que les pirates informatiques qui l'ont développé le développeront davantage. Ceci, cependant, ne diminue pas le danger que représente le chaos en tant qu'outil d'effacement de données destructeur.