Yashma Ransomware évolue du chaos

Une nouvelle variante appartenant à la famille des rançongiciels Chaos a été examinée par des chercheurs de la société de sécurité Blackberry.

La nouvelle variante s'appelle Yashma et constitue une légère mise à niveau par rapport aux capacités et à la liste des fonctionnalités de la dernière itération du rançongiciel Chaos dans sa version 5.0.

Chaos 5.0 possédait plusieurs nouvelles capacités, notamment la possibilité de chiffrer des fichiers qui ne se trouvent pas sur le lecteur système, de désactiver le gestionnaire de tâches Windows et enfin de se supprimer.

Yashma, la dernière itération et mise à jour de ce qui est essentiellement la même boîte à outils de ransomware, a été mise à jour avec plusieurs nouvelles fonctionnalités. Yashma peut s'auto-obscurcir, en s'appuyant sur un outil d'obscurcissement compilé à l'aide de .NET et appelé Confuser 1.9.0. Pour rendre la restauration et la récupération de fichiers plus problématiques, Yashma peut également tuer les services de sauvegarde de la victime.

Enfin, Yashma a également reçu un protocole de résiliation qui arrête le ransomware dans des territoires spécifiques, susceptibles d'éviter les cibles dans son pays d'origine, selon Blackberry.

Les premiers échantillons de Yashma ont été observés en mai 2022. Le rançongiciel Chaos sur lequel il est basé utilisait à son tour Ryuk comme tremplin, initialement annoncé comme une version .NET de Ryuk.