Chaos Malware
Le Chaos Malware est une menace en cours de développement tout en étant proposé sur des forums de hackers clandestins. Les chercheurs d'Infosec qui ont découvert la menace, notent que le Chaos Malware évolue rapidement et se transforme en une puissante menace de ransomware qui pourrait potentiellement causer beaucoup de dégâts s'il est libéré dans la nature. Pour l'instant, au moins, le Chaos Malware n'a pas été utilisé dans des campagnes d'attaque actives.
Incarnation initiale de l'essuie-glace
La première version du Chaos Malware présentait des caractéristiques particulières. La menace a été présentée comme une variante basée sur le tristement célèbre Ryuk Ransomware, mais un examen du code sous-jacent a clairement montré que ce n'est tout simplement pas vrai. De plus, bien qu'elle soit décrite comme un ransomware, cette version initiale de la menace s'apparentait davantage à un essuie-glace. Il a remplacé le contenu des fichiers concernés par des octets aléatoires, puis les a encodés en Base64. En tant que telles, les données sont techniquement perdues et les victimes n'étaient pas incitées à payer une rançon aux attaquants, ce qui est la principale raison de la diffusion de menaces de ransomware. Cette version possédait également des capacités de type ver, ce qui lui permettait de se propager via des supports amovibles. Le Chaos Malware 1.0 a déposé une note de rançon dans un fichier nommé une note de ransomware nommée « read_it.txt » et a demandé que 0,147 BTC (Bitcoin) soit transféré aux attaquants. Au taux de change actuel de la crypto-monnaie, cela s'élève à plus de 6 800 $.
Les versions ultérieures montrent une évolution rapide
La version initiale de la menace a été publiée en juin 2021. Cependant, au cours des deux prochains mois, les chercheurs d'infosec remarqueraient trois nouvelles versions qui ont considérablement étendu les capacités du Chaos Malware, ce qui l'a rendu plus conforme à ce qui est attendu d'un menace de ransomware. La version 2.0 a vu la menace commencer à supprimer les clichés instantanés de volume et le catalogue de sauvegarde sur les systèmes compromis. Il pourrait désormais également désactiver le mode de récupération de Windows. C'était toujours un essuie-glace qui écrasait les fichiers ciblés, cependant.
Ce comportement a finalement commencé à changer avec la version 3.0, car elle a introduit le cryptage AES + RSA pour les fichiers de moins de 1 Mo. La dernière version observée du Chaos Malware utilise la même combinaison des algorithmes cryptographiques AES et RSA, mais est capable de verrouiller des fichiers de moins de 2 Mo. Il permet à l'acteur de la menace de personnaliser l'extension utilisée pour les fichiers cryptés. La menace pourrait également être invitée à modifier l'image de bureau par défaut sur les systèmes infectés.