Chaos Malware

Chaos Malwareは、地下のハッカーフォーラムで提供されている間、活発に開発されている脅威です。脅威を発見したInfosecの研究者は、Chaos Malwareが急速に進化しており、野生に放出された場合に多くの損害を引き起こす可能性のある強力なランサムウェアの脅威になりつつあることに注目しています。少なくとも今のところ、ChaosMalwareはアクティブな攻撃キャンペーンでは使用されていません。

最初のワイパーの化身

Chaos Malwareの最初のバージョンは、いくつかの独特の特徴を示しました。この脅威は、悪名高いRyuk Ransomwareに基づく亜種として宣伝されましたが、基盤となるコードを見ると、これは単に真実ではないことが明らかになりました。さらに、ランサムウェアとして説明されているにもかかわらず、この最初のバージョンの脅威はワイパーに似ていました。影響を受けるファイルの内容をランダムなバイトに置き換えてから、Base64でエンコードしました。そのため、データは技術的に失われ、被害者は攻撃者に身代金を支払うインセンティブを持っていませんでした。これがランサムウェアの脅威をリリースする主な理由です。このバージョンは、ワームのような機能も備えていたため、リムーバブルメディアを介して拡散することができました。 Chaos Malware 1.0は、「read_it.txt」という名前のランサムウェアノートという名前のファイル内に身代金ノートをドロップし、攻撃者に転送する0.147 BTC（ビットコイン）を要求しました。暗号通貨の現在の為替レートでは、6,800ドル以上になります。

後続のバージョンは急速な進化を示しています

脅威の最初のバージョンは2021年6月にリリースされました。しかし、次の2か月で、infosecの研究者は、カオスマルウェアの機能を大幅に拡張した3つの新しいバージョンに気付くでしょう。これにより、ランサムウェアの脅威。バージョン2.0では、脅威が侵害されたシステム上のシャドウボリュームコピーとバックアップカタログを削除し始めました。また、Windowsリカバリモードを無効にすることもできます。ただし、対象のファイルを上書きしたのはワイパーでした。

この動作は、1MB未満のファイルにAES + RSA暗号化が導入されたため、3.0バージョンでようやく変更され始めました。 Chaos Malwareの最新の観測バージョンは、AESとRSA暗号化アルゴリズムの同じ組み合わせを採用していますが、2MB未満のファイルをロックすることができます。これにより、攻撃者は暗号化されたファイルに使用される拡張子をカスタマイズできます。脅威は、感染したシステムのデフォルトのデスクトップイメージを変更するように指示される可能性もあります。