Malware do caos anunciado falsamente como clone de Ryuk

Os pesquisadores de segurança estão descobrindo uma nova linhagem de malware, que agora estão chamando de Chaos. O malware está em seu radar há um curto tempo, detectado pela primeira vez em junho de 2021, e parece que os malfeitores por trás dele estão mudando de marcha e se preparando para lançá-lo pela primeira vez na selva.

O caos não foi usado em um ataque ativo ou campanha de ameaças até agora, mas parece que este momento não está muito longe. Os hackers que o desenvolvem e publicam atualizações em fóruns da dark web estão aumentando sua programação de atualização e o Chaos pode em breve estar pronto para sua primeira excursão na selva. O malware passou por quatro atualizações significativas em apenas dois meses.

Os pesquisadores que trabalham com a Trend Micro analisaram o Chaos e descobriram algumas coisas interessantes sobre ele. Para um produto que em breve estará à venda para outros hackers iniciantes, o Chaos comete muitas mentiras. Em primeiro lugar, ele finge ser um fork do infame ransomware Ryuk, mas codificado em .NET. Isso é sinalizado até mesmo na tela de resgate que contém as cordas da nota e da carteira criptografada.

No entanto, quando o pesquisador da Trend Micro, Monte de Jesus, identificou as entranhas do malware, descobriu que isso está longe de ser o caso. O caos opera de uma forma que o torna mais semelhante a um "trojan destrutivo" do que a um ransomware normal.

Antes de criptografar os arquivos, o Chaos substitui seu conteúdo por bytes aleatórios. Isso efetivamente significa que, mesmo se a vítima pagasse o resgate e obtivesse a chave de descriptografia, ela simplesmente descriptografaria seus arquivos em grandes blocos de dados aleatórios.

Uma adição curiosa ao kit de ferramentas que o Caos possui, além de suas propriedades de limpador, é sua capacidade de se espalhar para qualquer unidade conectada ao sistema da vítima. Isso é um problema porque esse recurso de desparasitação também cobre unidades removíveis.

A nota de resgate do malware é chamada de "read_it.txt". Nele, Chaos pede pouco mais de US $ 6 mil em bitcoins.

Conforme o malware foi atualizado, ele lentamente começou a se comportar mais como um ransomware tradicional. As atualizações graduais introduziram a capacidade de criptografar adequadamente tamanhos de arquivo pequenos sem destruir os dados originais neles primeiro. No entanto, mesmo em sua iteração mais recente, Chaos não é um ransomware completo e adequado. Isso provavelmente mudará à medida que os hackers por trás dele o desenvolverem. Isso, no entanto, não diminui o perigo que o Caos representa como uma ferramenta destrutiva de limpeza de dados.