リューククローンとして誤って宣伝されたカオスマルウェア

セキュリティ研究者は、マルウェアの新種を選び出し、現在はカオスと呼んでいます。マルウェアはしばらくの間レーダーに乗っており、2021年6月に最初に発見されました。その背後にいる悪意のある人物がギアをシフトし、野生での最初の外出に向けてマルウェアを起動する準備をしているようです。

カオスはこれまで積極的な攻撃や脅威キャンペーンで使用されていませんが、この瞬間はそれほど遠くないようです。それを開発し、ダークウェブフォーラムで更新を公開しているハッカーは、更新スケジュールを急増させており、Chaosはまもなく野生での最初の遠足の準備ができるかもしれません。このマルウェアは、わずか2か月で4つの重要な更新を経ました。

トレンドマイクロを使用している研究者は、カオスを分析し、それについていくつかの興味深いことを発見しました。間もなく他の新進のハッカーに売りに出されるかもしれない製品のために、カオスは多くの嘘をつきます。まず第一に、それは悪名高いRyukランサムウェアのフォークのふりをしますが、.NETでコード化されています。これは、メモと暗号ウォレットの文字列を含む身代金画面にも表示されます。

しかし、トレンドマイクロの研究者であるモンテデイエスがマルウェアの内部を取り除いたとき、これは事実とはほど遠いことが判明しました。 Chaosは、通常のランサムウェアよりも「破壊的なトロイの木馬」に似た方法で動作します。

Chaosは、ファイルを暗号化する前に、その内容をランダムなバイトに置き換えます。これは事実上、被害者が身代金を支払って復号化キーを取得したとしても、ファイルをランダムデータの大きなブロブに復号化するだけであることを意味します。

Chaosが備えているツールキットの興味深い追加機能は、ワイパープロパティに加えて、被害者のシステムに接続されているすべてのドライブに拡散する機能です。このワーミング機能はリムーバブルドライブも対象としているため、これは問題です。

マルウェアの身代金メモは「read_it.txt」と呼ばれます。その中で、カオスはビットコインで6000ドル強を要求しています。

マルウェアが更新されると、徐々に従来のランサムウェアのように動作し始めました。段階的な更新により、最初に元のデータを破壊することなく、小さなファイルサイズを適切に暗号化する機能が導入されました。ただし、最新のイテレーションでも、Chaosは本格的で適切なランサムウェアではありません。その背後にあるハッカーがそれをさらに発展させるにつれて、それはおそらく変わるでしょう。ただし、これは、カオスが破壊的なデータワイパーツールとしてもたらす危険性を軽減するものではありません。