Złośliwe oprogramowanie Chaosu fałszywie reklamowane jako klon Ryuk

Badacze bezpieczeństwa wyodrębnili nową odmianę złośliwego oprogramowania, którą teraz nazywają Chaos. Złośliwe oprogramowanie było od dłuższego czasu na ich radarze, po raz pierwszy zauważone w czerwcu 2021 r., i wygląda na to, że stojący za nim źli aktorzy zmieniają bieg i przygotowują się do uruchomienia go po raz pierwszy na wolności.

Chaos do tej pory nie był używany w aktywnej kampanii ataku lub groźby, ale wydaje się, że ten moment nie jest zbyt odległy. Hakerzy, którzy go opracowują i publikują aktualizacje na forach dark web, przyspieszają harmonogram aktualizacji i Chaos może wkrótce być gotowy na swoją pierwszą wyprawę na wolność. Szkodnik przeszedł cztery znaczące aktualizacje w ciągu zaledwie dwóch miesięcy.

Badacze współpracujący z Trend Micro przeanalizowali Chaos i odkryli kilka interesujących rzeczy na jego temat. Jak na produkt, który może wkrótce trafić do sprzedaży innym początkującym hakerom, Chaos dużo kłamie. Przede wszystkim udaje, że jest rozwidleniem niesławnego oprogramowania ransomware Ryuk, ale zakodowanego w .NET. Jest to oznakowane nawet na ekranie okupu zawierającym notatkę i ciągi portfela kryptograficznego.

Jednak gdy Monte de Jesus, badacz Trend Micro, rozszyfrował wnętrzności szkodliwego oprogramowania, okazało się, że jest to dalekie od tego. Chaos działa w sposób, który czyni go bardziej podobnym do „destrukcyjnego trojana” niż do zwykłego oprogramowania ransomware.

Przed zaszyfrowaniem plików Chaos zastępuje ich zawartość losowymi bajtami. W praktyce oznacza to, że nawet gdyby ofiara zapłaciła okup i uzyskała klucz odszyfrowywania, po prostu odszyfrowałaby swoje pliki do dużych bloczków losowych danych.

Ciekawym dodatkiem do zestawu narzędzi, który Chaos posiada, oprócz właściwości wycierania, jest jego zdolność do rozprzestrzeniania się na wszystkie dyski podłączone do systemu ofiary. Jest to problem, ponieważ ta funkcja robaka obejmuje również dyski wymienne.

Żądanie okupu przez złośliwe oprogramowanie nosi nazwę „read_it.txt”. W nim Chaos prosi o nieco ponad 6 tysięcy dolarów w bitcoinach.

Gdy złośliwe oprogramowanie zostało zaktualizowane, powoli zaczęło zachowywać się bardziej jak tradycyjne oprogramowanie ransomware. Stopniowe aktualizacje wprowadziły możliwość prawidłowego szyfrowania plików o niewielkich rozmiarach bez wcześniejszego niszczenia w nich oryginalnych danych. Jednak nawet w swojej najnowszej wersji Chaos nie jest pełnoprawnym, odpowiednim oprogramowaniem ransomware. To prawdopodobnie ulegnie zmianie, ponieważ hakerzy, którzy za tym stoją, będą ją dalej rozwijać. To jednak nie zmniejsza niebezpieczeństwa, jakie Chaos stwarza jako niszczycielskie narzędzie do usuwania danych.