Chaos-Malware

Die Chaos-Malware ist eine Bedrohung, die sich in aktiver Entwicklung befindet, während sie in unterirdischen Hackerforen angeboten wird. Die Forscher von Infosec, die die Bedrohung entdeckt haben, stellen fest, dass sich die Chaos-Malware schnell weiterentwickelt und sich zu einer starken Ransomware-Bedrohung entwickelt, die möglicherweise viel Schaden anrichten kann, wenn sie in freier Wildbahn veröffentlicht wird. Zumindest vorerst wurde die Chaos Malware nicht in aktiven Angriffskampagnen verwendet.

Erste Inkarnation des Wischers

Die erste Version der Chaos Malware wies einige besondere Merkmale auf. Die Bedrohung wurde als Variante basierend auf der berüchtigten Ryuk Ransomware beworben, aber ein Blick auf den zugrunde liegenden Code zeigte deutlich, dass dies einfach nicht stimmt. Darüber hinaus ähnelte diese erste Version der Bedrohung, obwohl sie als Ransomware beschrieben wurde, eher einem Wischer. Es ersetzte den Inhalt der betroffenen Dateien durch zufällige Bytes und codierte sie dann in Base64. Als solche gehen die Daten technisch verloren und die Opfer hatten keinen Anreiz, den Angreifern ein Lösegeld zu zahlen, was der Hauptgrund für die Veröffentlichung von Ransomware-Bedrohungen ist. Diese Version besaß auch wurmähnliche Fähigkeiten, die es ihr ermöglichten, sich über Wechselmedien zu verbreiten. Die Chaos Malware 1.0 hat eine Lösegeldforderung in einer Datei namens „read_it.txt" abgelegt und aufgefordert, 0,147 BTC (Bitcoin) an die Angreifer zu übertragen. Zum aktuellen Wechselkurs der Kryptowährung sind das mehr als 6.800 US-Dollar.

Nachfolgende Versionen zeigen eine schnelle Entwicklung

Die erste Version der Bedrohung wurde im Juni 2021 veröffentlicht. In den nächsten Monaten würden die infosec-Forscher jedoch drei neue Versionen bemerken, die die Fähigkeiten der Chaos-Malware erheblich erweiterten, wodurch sie den Erwartungen von a Ransomware-Bedrohung näher kam. In Version 2.0 begann die Bedrohung, die Schattenkopien und den Backup-Katalog auf den kompromittierten Systemen zu löschen. Es könnte jetzt auch den Windows-Wiederherstellungsmodus deaktivieren. Es war jedoch immer noch ein Wischer, der die Zieldateien überschrieben hat.

Dieses Verhalten begann sich schließlich mit der Version 3.0 zu ändern, als sie die AES + RSA-Verschlüsselung für Dateien unter 1 MB einführte. Die neueste beobachtete Version der Chaos Malware verwendet die gleiche Kombination der kryptografischen Algorithmen AES und RSA, ist jedoch in der Lage, Dateien unter 2 MB zu sperren. Es ermöglicht dem Bedrohungsakteur, die für die verschlüsselten Dateien verwendete Erweiterung anzupassen. Die Bedrohung könnte auch angewiesen werden, das Standard-Desktop-Image auf den infizierten Systemen zu ändern.