Nueva variante de Chaos Malware Ditches Wiper for Encryption



El generador de malware Chaos, que surgió como un limpiador de la oscuridad subterránea hace casi un año, ha cambiado de forma con un binario renombrado llamado Yashma que incorpora capacidades de ransomware completas.

Eso es según los investigadores de BlackBerry, quienes dicen que Chaos está en camino de convertirse en una amenaza importante para las empresas de todos los tamaños.

Chaos comenzó su vida en junio pasado con la intención de ser un creador de una versión .Net del ransomware Ryuk, una artimaña en la que sus operadores se apoyaron mucho, incluso usando la marca Ryuk en su interfaz de usuario. Sin embargo, un análisis de Craze Micro en ese momento mostró que los archivos binarios creados con esta versión inicial compartían muy poca herencia con el conocido malo ransomware. En cambio, la muestra period «más parecida a un troyano destructivo que a un ransomware tradicional», señaló la firma, principalmente sobrescribiendo archivos y haciéndolos irrecuperables.

Los investigadores de BlackBerry notaron lo mismo. En lugar de utilizar el proceso de cifrado AES/RSA-256 de Ryuk, la «edición inicial de Chaos sobrescribe el archivo de destino con una cadena Foundation64 aleatoria», según BlackBerry’s nuevo reporte. «Debido a que el contenido authentic de los archivos se pierde durante este proceso, la recuperación no es posible, lo que convierte a Chaos en un limpiador en lugar de un verdadero ransomware».

Después de poner al constructor en foros clandestinos y recibir muchos comentarios sarcásticos y críticas de otros habitantes de la Darkish World-wide-web por secuestrar la marca Ryuk, el grupo se autodenominó Chaos. El malware también pasó rápidamente por varias versiones diferentes, cada una con cambios incrementales que le dieron más y más capacidades reales de ransomware. Sin embargo, la funcionalidad del limpiaparabrisas se mantuvo durante la versión cuatro.

«Según los foros, se cree que el ransomware original fue desarrollado por un solo autor», le dice a Darkish Looking through Ismael Valenzuela, vicepresidente de investigación e inteligencia de amenazas en la Unidad de Negocios de Ciberseguridad de BlackBerry. «Este autor parece nuevo en la escena del ransomware, ya que solicitaba comentarios, informes de errores y solicitudes de funciones, y las primeras versiones carecían de funciones básicas, como subprocesos múltiples, que son comunes en otros ransomware».

dentro del caos

Chaos apunta a más de 100 extensiones de archivo predeterminadas para el cifrado y también tiene una lista de archivos que evita apuntar, incluidos .DLL, .EXE, .LNK y .INI, presumiblemente para evitar bloquear el dispositivo de la víctima al bloquear los archivos del sistema.

En cada carpeta afectada por el malware, suelta la nota de rescate como «browse_it.txt».

«Esta opción es altamente personalizable dentro de todas las iteraciones del creador, lo que brinda a los operadores de malware la capacidad de incluir cualquier texto que deseen como nota de rescate», según el análisis de BlackBerry. «En todas las versiones de Chaos Ransomware Builder, la nota predeterminada permanece relativamente sin cambios e incluye referencias a la billetera Bitcoin del aparente creador de esta amenaza».

Con el tiempo, el malware ha agregado capacidades más sofisticadas, como la capacidad de:

  • Eliminar instantáneas
  • Eliminar catálogos de respaldo
  • Deshabilitar el modo de recuperación de Home windows
  • Cambiar el fondo de escritorio de la víctima
  • Listas de extensiones de archivo personalizables
  • Mejor compatibilidad de encriptación
  • Corre al empezar
  • Soltar el malware como un proceso diferente
  • Dormir antes de la ejecución
  • Sistemas de recuperación de interrupciones
  • Propaga el malware a través de conexiones de red.
  • Elija una extensión de archivo de cifrado personalizada
  • Deshabilitar el Administrador de tareas de Home windows

Las capacidades de cifrado reales (usando AES-256) se han incluido solo desde la tercera versión del malware incluso entonces, el constructor solo podía cifrar archivos de menos de 1 MB. Todavía actuaba como un destructor de archivos grandes (como fotos o movies).

“El código está escrito de tal manera que la función de limpieza no es accidental. No está claro por qué los autores tomaron esta decisión”, dice Valenzuela. «Es posible que los autores del malware hayan tomado la decisión por razones de rendimiento. Si el malware funcionaba lentamente a través de un directorio de films de varios GB o archivos de bases de datos, existe una pequeña posibilidad de que el usuario se dé cuenta y pueda apagar el dispositivo».

Chaos, versión cuatro: ransomware ‘Onyx’, aún con Wiper

Aunque la versión cuatro del generador Chaos se lanzó a fines del año pasado, recibió un impulso cuando un grupo de amenazas llamado Onyx creó su propio ransomware con él el mes pasado. Esta versión se convirtió rápidamente en la edición Chaos más común observada directamente en la naturaleza hoy en día, según la firma. En specific, aunque se mejoró el ransomware para poder cifrar archivos un poco más grandes (hasta 2,1 MB de tamaño), los archivos más grandes aún se sobrescriben y destruyen.

Los últimos ataques se han dirigido a los servicios e industrias con sede en EE. UU., incluidos los servicios de emergencia, médicos, financieros, de construcción y agrícolas, según BlackBerry.

«Este grupo de amenazas en unique [infiltrates] la crimson de una organización de víctimas, [steals] cualquier dato valioso que encontrara, luego liberaría el ‘Onyx ransomware’, su propia creación de marca basada en Chaos Builder v4.», dijeron los investigadores, algo que los investigadores pudieron verificar con pruebas de muestra que mostraron una coincidencia del código del 98% con una muestra de prueba. generado a través de Chaos v4. Los únicos cambios fueron una nota de rescate personalizada y una lista refinada de extensiones de archivo.

Onyx también ha implementado un sitio de filtraciones llamado «Onyx Information» alojado en la pink Tor, con información sobre sus víctimas y datos robados visibles públicamente. El sitio también se utiliza para dar a las víctimas más información sobre cómo recuperar sus datos.

«El mejor consejo que podíamos ofrecer a las empresas [targeted with the Onyx wiper] es mantener copias de seguridad periódicas, que se almacenan por separado, y no pagar el rescate, ya que la mayoría de sus archivos no se pueden recuperar debido al diseño”, dice Valenzuela. .»

Chaos Wiper controlado con Yashma

A principios de 2022, Chaos lanzó una quinta versión de su constructor, que finalmente generó binarios de ransomware capaces de cifrar archivos grandes sin corromperlos irremediablemente.

«Aunque es más lento para completar sus tareas maliciosas en el dispositivo de la víctima que cuando simplemente estaba destruyendo archivos, el malware finalmente funciona como se esperaba, con archivos de todos los tamaños correctamente encriptados por el malware y reteniendo el potencial de ser restaurados a su estado anterior sin encriptar». ”, anotaron los investigadores.

Pronto siguió una sexta iteración casi idéntica a mediados de 2022, rebautizada como Yashma.

«Malware como servicio [MaaS] es un modelo well-known en estos días sin embargo, un punto de venta único para Chaos es que hasta el cambio de marca a Yashma, todos los lanzamientos han sido gratuitos», señala Valenzuela. «Dicho esto, las versiones de Yashma todavía cuestan solo $ 17, lo que hace que el ransomware sea ampliamente accesible».

Yashma incorpora dos avances sobre la quinta versión: la capacidad de evitar que el ransomware se ejecute según el idioma configurado en el dispositivo de la víctima y la capacidad de detener varios servicios.

Respecto a esto último, Yashma da por concluido lo siguiente:

  • Soluciones antivirus (AV)
  • Servicios de bóveda
  • Servicios de copia de seguridad
  • Servicios de almacenamiento
  • Servicios de escritorio remoto

Ambas versiones han visto poca acción en la naturaleza hasta la fecha, lo que significa que los ataques de Chaos ransomware a menudo incorporarán una dimensión de limpieza destructiva. Pero es possible que los archivos binarios basados ​​en todas las iteraciones del constructor se vuelvan más comunes con el tiempo.

«Lo que hace que Chaos/Yashma sea peligroso en el futuro es su flexibilidad y su amplia disponibilidad», señalaron los investigadores en el informe. «Como el malware se vende y distribuye inicialmente como un generador de malware, cualquier actor de amenazas que compre el malware puede replicar las acciones del grupo de amenazas detrás de Onyx, desarrollando sus propias cepas de ransomware y apuntando a las víctimas elegidas».

Cada negocio es un objetivo

Valenzuela señala que con Chaos, el nivel de experiencia técnica requerido para usarlo es relativamente bajo, el constructor es libre y los pasos necesarios para generar un binario propio son sencillos.

“Ninguna organización o industria está exenta de este riesgo”, dijo. «Todas las empresas deben tener una buena estrategia defensiva, incluida una arquitectura defendible probada con una combinación de tecnologías que brinden cobertura de prevención, visibilidad y detección, así como un monitoreo continuo aumentado con inteligencia de amenazas actualizada, para responder temprano en la cadena de ataque».

Valenzuela agrega: «Hemos visto cómo muchas empresas se han visto comprometidas durante días o semanas antes de la detonación de las cargas útiles de ransomware, por lo que poder responder a las amenazas rápidamente es essential para disminuir el impacto de estos ataques».



Enlace a la noticia primary