A Chaos Malware hamisan Ryuk Clone néven hirdetett

A biztonsági kutatók egy újfajta rosszindulatú programot választottak szét, amelyet most káosznak neveznek. A rosszindulatú program rövid ideig a radarjukon volt, először 2021 júniusában észlelték, és úgy tűnik, hogy a mögötte lévő rossz szereplők sebességváltást váltanak, és készülnek az első vadonjárásra.

A káoszt eddig nem használták aktív támadási vagy fenyegetési kampányban, de úgy tűnik, ez a pillanat nincs túl messze. Az azt fejlesztő és a sötét webes fórumokon frissítéseket közzétevő hackerek felgyorsították frissítési ütemtervüket, és a Chaos hamarosan készen áll az első vadonjárásra. A kártevő négy jelentős frissítésen ment keresztül mindössze két hónap alatt.

A Trend Micro -val dolgozó kutatók elemezték a Káoszt, és felfedeztek néhány érdekes dolgot ezzel kapcsolatban. Egy olyan termék esetében, amelyet hamarosan más kezdő hackerek is eladhatnak, a Káosz sokat hazudik. Először is a hírhedt Ryuk ransomware villája, de .NET -ben van kódolva. Ezt jelzik még a váltságdíj -képernyőn is, amely a cetlit és a kripto -pénztárca karakterláncát tartalmazza.

Amikor azonban a Trend Micro kutatója, Monte de Jesus elválasztotta a rosszindulatú programok belsejét, kiderült, hogy ez messze nem így van. A Chaos úgy működik, hogy jobban hasonlít egy "romboló trójaihoz", mint egy hagyományos ransomware.

Mielőtt titkosítja a fájlokat, a Chaos véletlenszerű bájtokkal helyettesíti azok tartalmát. Ez gyakorlatilag azt jelenti, hogy még ha az áldozat meg is fizeti a váltságdíjat, és megkapja a visszafejtési kulcsot, egyszerűen visszafejti a fájljait a véletlenszerű adatok nagy foltjaira.

A Chaos eszköztárának furcsa kiegészítője az ablaktörlő tulajdonságai mellett az a képessége, hogy el tud terjedni az áldozatrendszerhez csatlakoztatott bármely meghajtóra. Ez azért jelent problémát, mert ez a féreghajtási lehetőség kiterjed a cserélhető meghajtókra is.

A kártevő váltságdíját a „read_it.txt” néven hívják. Ebben a Káosz valamivel több mint 6 ezer dollárt kér bitcoinban.

Ahogy a kártevő frissült, lassan elkezdett inkább a hagyományos ransomware -hez hasonlóan viselkedni. A fokozatos frissítések lehetővé tették a kis méretű fájlok megfelelő titkosítását anélkül, hogy előbb megsemmisítenék az eredeti adatokat. A Chaos azonban még a legújabb iterációban sem teljes értékű, megfelelő ransomware. Ez valószínűleg megváltozik, ahogy a mögötte álló hackerek tovább fejlesztik. Ez azonban nem csökkenti azt a veszélyt, amelyet a káosz romboló adattörlő eszközként jelent.