Yashma Ransomware utvecklas från kaos

En ny variant som tillhör Chaos ransomware-familjen har undersökts av forskare med säkerhetsföretaget Blackberry.

Den nya varianten heter Yashma och är en liten uppgradering av kapaciteten och funktionslistan för den senaste iterationen av Chaos ransomware i dess 5.0-version.

Chaos 5.0 skröt med flera nya förmågor, inklusive att kunna kryptera filer som inte finns på systemenheten, inaktivera Windows Task Manager och slutligen ta bort sig själv.

Yashma, den senaste iterationen och uppgraderingen av vad som i huvudsak är samma ransomware-verktygssats, har uppgraderats med flera nya funktioner. Yashma kan fördunkla själv genom att förlita sig på ett obfuskeringsverktyg kompilerat med .NET och kallat Confuser 1.9.0. För att göra filåterställning och återställning mer problematisk kan Yashma också döda offrets säkerhetskopieringstjänster.

Slutligen har Yashma också fått ett uppsägningsprotokoll som stänger av ransomware i specifika territorier, troligtvis för att undvika mål i sitt ursprungsland, enligt Blackberry.

De första proverna av Yashma observerades i maj 2022. Chaos ransomware som den är baserad på använde i sin tur Ryuk som en språngbräda, till en början annonserad som en .NET-baserad version av Ryuk.