Yashma Ransomware evolueert uit chaos

Een nieuwe variant van de Chaos ransomware-familie is onderzocht door onderzoekers van beveiligingsbedrijf Blackberry.

De nieuwe variant heet Yashma en is een kleine upgrade van de mogelijkheden en de lijst met functies van de nieuwste versie van Chaos-ransomware in de 5.0-versie.

Chaos 5.0 had verschillende nieuwe mogelijkheden, waaronder het kunnen versleutelen van bestanden die niet op de systeemschijf staan, het uitschakelen van Windows Taakbeheer en het uiteindelijk verwijderen van zichzelf.

Yashma, de nieuwste versie en upgrade van wat in wezen dezelfde ransomware-toolkit is, is geüpgraded met verschillende nieuwe functies. Yashma kan zichzelf verduisteren, vertrouwend op een verduisteringstool die is gecompileerd met .NET en Confuser 1.9.0 wordt genoemd. Om het herstellen en herstellen van bestanden problematischer te maken, kan Yashma ook de back-upservices van het slachtoffer uitschakelen.

Ten slotte heeft Yashma ook een beëindigingsprotocol ontvangen dat de ransomware in specifieke gebieden uitschakelt, om doelen in het land van herkomst waarschijnlijk te vermijden, aldus Blackberry.

De eerste voorbeelden van Yashma werden waargenomen in mei 2022. De Chaos-ransomware waarop het is gebaseerd, gebruikte op zijn beurt Ryuk als opstapje, aanvankelijk geadverteerd als een op .NET gebaseerde versie van Ryuk.