Chaos Malware annonseras falskt som Ryuk -klon

Säkerhetsforskare har plockat isär en ny stam av skadlig kod, som de nu kallar kaos. Skadlig programvara har funnits på deras radar en kort stund, först upptäcktes i juni 2021, och det ser ut som att de dåliga aktörerna bakom den växlar och gör sig redo att starta den för sin första utflykt i naturen.

Kaos har inte använts i en aktiv attack- eller hotkampanj hittills, men det verkar som att detta ögonblick inte är för långt. Hackarna som utvecklar det och publicerar uppdateringar på mörka webbforum har ökat sitt uppdateringsschema och Chaos kan snart vara redo för sin första utflykt i naturen. Skadlig programvara har gått igenom fyra viktiga uppdateringar på bara två månader.

Forskare som arbetar med Trend Micro analyserade Kaos och upptäckte några intressanta saker om det. För en produkt som snart kan säljas till andra spirande hackare, ljuger Chaos mycket. Först och främst låtsas det vara en gaffel för den ökända Ryuk -ransomware, men kodad i .NET. Detta är skyltat även på lösenskärmen som innehåller lappen och kryptoplånboksträngar.

Men när Trend Micro -forskaren Monte de Jesus plockade isär skadlig programvarans inre visade det sig att detta är långt ifrån fallet. Kaos fungerar på ett sätt som gör det mer likt en "destruktiv trojan" än en vanlig ransomware.

Innan det krypterar filer, ersätter Chaos innehållet med slumpmässiga byte. Detta betyder faktiskt att även om ett offer betalade lösen och fick dekrypteringsnyckeln, skulle de helt enkelt dekryptera sina filer till stora klumpar av slumpmässig data.

Ett märkligt tillägg till verktygssatsen Chaos besitter, förutom dess torkaregenskaper, är dess förmåga att sprida sig till alla enheter som är anslutna till offersystemet. Detta är ett problem eftersom denna maskningskapacitet också täcker flyttbara enheter.

Skadans lösenordsanteckning kallas "read_it.txt". I den ber Chaos om drygt 6 tusen dollar i bitcoin.

När skadlig programvara uppdaterades började den långsamt bete sig mer som traditionell ransomware. Gradvisa uppdateringar introducerade möjligheten att korrekt kryptera små filstorlekar utan att först förstöra originaldata i dem. Men även i sin senaste iteration är Chaos inte en fullvärdig, riktig ransomware. Det kommer troligen att förändras när hackarna bakom det utvecklar det vidare. Detta minskar dock inte den fara Chaos utgör som ett destruktivt datatorkarverktyg.