Chaos Malware erroneamente pubblicizzato come Ryuk Clone
I ricercatori di sicurezza hanno individuato un nuovo ceppo di malware, che ora chiamano Chaos. Il malware è stato sul loro radar per un breve periodo, individuato per la prima volta nel giugno 2021, e sembra che i cattivi attori dietro di esso stiano cambiando marcia e si stiano preparando a lanciarlo per la sua prima uscita in natura.
Finora il caos non è stato utilizzato in un attacco attivo o in una campagna di minacce, ma sembra che questo momento non sia troppo lontano. Gli hacker che lo sviluppano e pubblicano aggiornamenti sui forum del dark web hanno aumentato il loro programma di aggiornamento e Chaos potrebbe presto essere pronto per la sua prima escursione in natura. Il malware ha subito quattro aggiornamenti significativi in soli due mesi.
I ricercatori che lavorano con Trend Micro hanno analizzato Chaos e hanno scoperto alcune cose interessanti al riguardo. Per un prodotto che potrebbe presto essere messo in vendita ad altri hacker in erba, Chaos mente molto. Prima di tutto, finge di essere un fork del famigerato ransomware Ryuk, ma codificato in .NET. Questo è segnalato anche sulla schermata del riscatto contenente le stringhe della nota e del portafoglio crittografico.
Tuttavia, quando il ricercatore di Trend Micro Monte de Jesus ha analizzato le viscere del malware, si è scoperto che questo è tutt'altro che vero. Chaos opera in un modo che lo rende più simile a un "trojan distruttivo" rispetto a un normale ransomware.
Prima di crittografare i file, Chaos sostituisce il loro contenuto con byte casuali. Ciò significa che anche se una vittima pagasse il riscatto e ottenesse la chiave di decrittazione, decritterebbe semplicemente i propri file in grandi quantità di dati casuali.
Una curiosa aggiunta al toolkit che Chaos possiede, oltre alle sue proprietà di wiper, è la sua capacità di diffondersi a qualsiasi unità collegata al sistema vittima. Questo è un problema perché questa capacità di worming copre anche le unità rimovibili.
La richiesta di riscatto del malware si chiama "read_it.txt". In esso, Chaos chiede poco più di $ 6mila in bitcoin.
Quando il malware è stato aggiornato, ha iniziato lentamente a comportarsi più come un ransomware tradizionale. Gli aggiornamenti graduali hanno introdotto la capacità di crittografare correttamente file di piccole dimensioni senza prima distruggere i dati originali in essi contenuti. Tuttavia, anche nella sua ultima versione, Chaos non è un ransomware a tutti gli effetti. Questo probabilmente cambierà man mano che gli hacker dietro di esso lo svilupperanno ulteriormente. Ciò, tuttavia, non diminuisce il pericolo che il caos rappresenta come strumento distruttivo di cancellazione dei dati.
