Chaos Malware Falsely Advertised as Ryuk Clone

Sikkerhetsforskere har plukket ut en ny stamme av skadelig programvare, som de nå kaller Kaos. Skadelig programvare har vært på radaren deres en kort stund, først oppdaget i juni 2021, og det ser ut til at de dårlige aktørene bak det girer og gjør seg klare til å starte det for sin første utflukt i naturen.

Kaos har ikke blitt brukt i en aktiv angrep eller trusselkampanje så langt, men det ser ut til at dette øyeblikket ikke er for langt. Hackerne som utviklet den og publiserte oppdateringer på mørke nettfora har økt oppsigelsesplanen, og Chaos kan snart være klar for sin første utflukt i naturen. Skadelig programvare har gjennomgått fire betydelige oppdateringer på bare to måneder.

Forskere som jobber med Trend Micro analyserte Kaos og oppdaget noen interessante ting om det. For et produkt som snart kan selges til andre spirende hackere, lyver Chaos mye. Først og fremst utgir det seg for å være en gaffel for den beryktede Ryuk -ransomware, men kodet inn .NET. Dette er skiltet selv på løsepenger -skjermen som inneholder notatet og krypto -lommebokstrenger.

Da Trend Micro -forskeren Monte de Jesus plukket fra seg skadelig programvare, viste det seg imidlertid at dette langt fra er tilfelle. Kaos fungerer på en måte som gjør det mer likt en "destruktiv trojan" enn en vanlig ransomware.

Før det krypterer filer, erstatter Chaos innholdet med tilfeldige byte. Dette betyr faktisk at selv om et offer betalte løsepengen og fikk dekrypteringsnøkkelen, ville de ganske enkelt dekryptere filene sine til store blokker av tilfeldige data.

Et merkelig tillegg til verktøysettet Chaos besitter, i tillegg til sine viskeregenskaper, er dets evne til å spre seg til alle stasjoner som er koblet til offersystemet. Dette er et problem fordi denne ormekapasiteten også dekker flyttbare stasjoner.

Løsningsnotatet for skadelig programvare kalles "read_it.txt". I den ber Chaos om litt over 6 tusen dollar i bitcoin.

Etter hvert som skadelig programvare ble oppdatert, begynte den sakte å oppføre seg mer som tradisjonell ransomware. Gradvise oppdateringer introduserte muligheten til å kryptere små filstørrelser på riktig måte uten å ødelegge de opprinnelige dataene i dem først. Selv i den siste iterasjonen er Chaos imidlertid ikke en fullverdig, skikkelig ransomware. Det vil trolig endre seg etter hvert som hackerne bak det utvikler det videre. Dette reduserer imidlertid ikke faren Kaos utgjør som et destruktivt data -viskerverktøy.