Chaos Malware Ten onrechte geadverteerd als Ryuk Clone

Beveiligingsonderzoekers hebben een nieuwe vorm van malware uitgezocht, die ze nu Chaos noemen. De malware stond al een tijdje op hun radar, voor het eerst gespot in juni 2021, en het lijkt erop dat de slechte acteurs erachter aan het veranderen zijn en zich klaarmaken om het te lanceren voor zijn eerste uitje in het wild.

Chaos is tot nu toe niet gebruikt in een actieve aanvals- of dreigingscampagne, maar het lijkt erop dat dit moment niet te ver is. De hackers die het ontwikkelen en updates publiceren op darkwebforums, hebben hun updateschema opgevoerd en Chaos zou binnenkort klaar kunnen zijn voor zijn eerste excursie in het wild. De malware heeft in slechts twee maanden tijd vier belangrijke updates ondergaan.

Onderzoekers die met Trend Micro werkten, analyseerden Chaos en ontdekten er een paar interessante dingen over. Voor een product dat binnenkort te koop staat voor andere beginnende hackers, liegt Chaos veel. Allereerst doet het zich voor als een afsplitsing van de beruchte Ryuk-ransomware, maar dan gecodeerd in .NET. Dit wordt zelfs aangegeven op het losgeldscherm met de notitie- en crypto-portemonnee-strings.

Toen Trend Micro-onderzoeker Monte de Jesus de ingewanden van de malware uit elkaar haalde, bleek dit echter verre van het geval te zijn. Chaos werkt op een manier waardoor het meer lijkt op een "destructieve trojan" dan op een gewone ransomware.

Voordat het bestanden versleutelt, vervangt Chaos hun inhoud door willekeurige bytes. Dit betekent in feite dat zelfs als een slachtoffer het losgeld zou betalen en de decoderingssleutel zou verkrijgen, ze hun bestanden eenvoudigweg zouden decoderen tot grote klodders willekeurige gegevens.

Een merkwaardige toevoeging aan de toolkit die Chaos bezit, naast zijn wiper-eigenschappen, is zijn vermogen om zich te verspreiden naar alle schijven die op het slachtoffersysteem zijn aangesloten. Dit is een probleem omdat deze ontwormingsmogelijkheid ook verwisselbare schijven dekt.

De losgeldbrief van de malware heet "read_it.txt". Daarin vraagt Chaos iets meer dan $6000 aan bitcoin.

Toen de malware werd bijgewerkt, begon het zich langzaam meer als traditionele ransomware te gedragen. Geleidelijke updates introduceerden de mogelijkheid om kleine bestandsgroottes correct te versleutelen zonder eerst de originele gegevens erin te vernietigen. Maar zelfs in de nieuwste versie is Chaos geen volwaardige, echte ransomware. Dat zal waarschijnlijk veranderen naarmate de hackers erachter het verder ontwikkelen. Dit neemt echter niet het gevaar weg dat Chaos vormt als een destructieve tool voor het wissen van gegevens.