Chaos Malware

El Chaos Malware es una amenaza en desarrollo activo mientras se ofrece en foros clandestinos de piratas informáticos. Los investigadores de Infosec que descubrieron la amenaza, notan que Chaos Malware está evolucionando rápidamente y se está convirtiendo en una potente amenaza de ransomware que podría causar mucho daño si se libera en la naturaleza. Por ahora, al menos, Chaos Malware no se ha utilizado en campañas de ataque activas.

Encarnación inicial del limpiaparabrisas

La primera versión del Chaos Malware exhibió algunas características peculiares. La amenaza se promocionó como una variante basada en el infame Ryuk Ransomware, pero una mirada al código subyacente mostró claramente que esto simplemente no es cierto. Además, a pesar de ser descrito como ransomware, esta versión inicial de la amenaza era más parecida a un limpiador. Reemplazó el contenido de los archivos afectados con bytes aleatorios y luego los codificó en Base64. Como tal, los datos se pierden técnicamente y las víctimas no tenían ningún incentivo para pagar un rescate a los atacantes, que es la razón principal para lanzar amenazas de ransomware. Esta versión también poseía capacidades similares a las de un gusano, lo que le permitía propagarse a través de medios extraíbles. El Chaos Malware 1.0 dejó caer una nota de rescate dentro de un archivo llamado una nota de ransomware llamada 'read_it.txt' y solicitó que se transfirieran 0.147 BTC (Bitcoin) a los atacantes. Al tipo de cambio actual de la criptomoneda, eso asciende a más de $ 6,800.

Las versiones posteriores muestran una rápida evolución

La versión inicial de la amenaza fue lanzada en junio de 2021. Sin embargo, en los próximos meses, los investigadores de seguridad de la información notarían tres nuevas versiones que expandieron las capacidades de Chaos Malware en gran medida, lo que lo alineó más con lo que se espera de un amenaza de ransomware. La versión 2.0 vio cómo la amenaza comenzaba a eliminar las instantáneas de volumen y el catálogo de respaldo en los sistemas comprometidos. Ahora también podría deshabilitar el modo de recuperación de Windows. Sin embargo, todavía era un limpiador que sobrescribía los archivos de destino.

Este comportamiento finalmente comenzó a cambiar con la versión 3.0, ya que introdujo el cifrado AES + RSA para archivos de menos de 1 MB. La última versión observada de Chaos Malware emplea la misma combinación de los algoritmos criptográficos AES y RSA, pero es capaz de bloquear archivos de menos de 2 MB. Permite que el actor de la amenaza personalice la extensión utilizada para los archivos cifrados. También se podría indicar a la amenaza que cambie la imagen de escritorio predeterminada en los sistemas infectados.