1. Home >
  2. Notícias >
  3. Notícias >
  4. Chaos ransomware explicado: uma ameaça... >

Chaos ransomware explicado: uma ameaça em rápida evolução

O desenvolvedor de ransomware Chaos, agora renomeado como Yashma, está melhorando rapidamente e sendo adotado por grupos cibercriminosos

Author Photo
4:57 pm - 30 de maio de 2022
segurança

O Chaos começou no ano passado como uma imitação de buggy e pouco convincente do notório kit de ransomware Ryuk. Desde então, passou por um desenvolvimento ativo e melhorias rápidas que convenceram diferentes grupos de invasores a adotá-lo. A versão mais recente, apelidada de Yashma, foi observada pela primeira vez em estado selvagem em meados de maio e contém vários aprimoramentos.

Uma operação de ransomware bem-sucedida, conhecida como Onyx, atingiu serviços de emergência nos EUA, instalações médicas e organizações de vários outros setores no ano passado. Ele usa uma variação do ransomware Chaos, de acordo com pesquisadores de segurança.

“O que torna o Chaos/Yashma perigoso daqui para frente é sua flexibilidade e sua ampla disponibilidade”, disseram pesquisadores da BlackBerry em um novo relatório. “Como o malware é inicialmente vendido e distribuído como um criador de malware, qualquer agente de ameaças que comprar o malware pode replicar as ações do grupo de ameaças por trás do Onyx, desenvolvendo suas próprias variedades de ransomware e visando vítimas escolhidas”.

O começo humilde e o marketing agressivo da ransomware Chaos

O desenvolvedor de ransomware Chaos apareceu por volta de junho de 2021 sob o nome Ryuk .NET Ransomware Builder v1.0. Este é um programa de código fechado que os autores de malware fornecem a seus clientes, permitindo que eles personalizem o malware e gerem um binário malicioso com as propriedades que eles podem usar. Isso permite que diferentes grupos de cibercriminosos que adquiriram o mesmo programa de malware usem diferentes servidores de comando e controle, por exemplo, ou personalizem seu malware para cada vítima.

Apesar do nome, o Ryuk .NET Ransomware Builder não teve nada a ver com o programa de ransomware Ryuk que infectou centenas de organizações em todo o mundo desde 2018. Ryuk é a criação de um grupo rastreado no setor de segurança como Wizard Spider, que se acredita ser o responsável pela criação do sucessor de Ryuk, chamado Conti, bem como o botnet TrickBot.

De acordo com os pesquisadores do BlackBerry, quando o Ryuk .NET Ransomware Builder foi promovido pela primeira vez em fóruns clandestinos, a recepção dos cibercriminosos foi negativa. Muitos não gostaram da propaganda enganosa usando o nome de Ryuk, especialmente porque o ransomware criado carecia de muitos recursos e agia como um limpador de arquivos.

O malware tinha como alvo mais de 100 extensões de arquivo, mas foi projetado para sobrescrever arquivos com uma string Base64 aleatória. Ao contrário da criptografia, esse processo não é reversível, por isso destruiu permanentemente os arquivos.

O autor do ransomware reagiu ao feedback negativo e, a partir da versão 2, renomeou seu ransomware como Chaos. No entanto, foi somente a partir da versão 3 que o malware ganhou a capacidade de criptografar arquivos com os algoritmos AES e RSA, mas apenas arquivos menores que 1 MB. Isso foi aumentado para arquivos com menos de 2 MB no Chaos Builder v4.0, lançado em agosto junto com outras melhorias e recursos, incluindo a capacidade de alterar o papel de parede da área de trabalho da vítima para mostrar a nota de resgate, listas de extensão de arquivo personalizáveis, interface gráfica do usuário para os usuários, impedindo a recuperação excluindo cópias de sombra do sistema de arquivos do Windows e catálogos de backup, bem como desabilitando o modo de recuperação do Windows.

O grupo cibercriminoso Onyx entra em cena

A versão 4.0 do Chaos builder também foi significativa porque em abril de 2022 foi adotada por um grupo de cibercriminosos que se autodenomina Onyx, que também implementou a estratégia de extorsão de vazamento duplo de dados que é comum na maioria das gangues de ransomware atualmente.

“Ao contrário da nota de resgate Chaos padrão, que forneceu poucas instruções ou orientações para as vítimas afetadas, o grupo por trás do Onyx implementou um site de vazamento chamado ‘Onyx News’, hospedado por meio de uma página Onion na rede Tor anônima”, disseram os pesquisadores da BlackBerry. “O Onyx o usou para fornecer às vítimas mais informações sobre como recuperar seus dados. A nota de resgate do Onyx forneceu o endereço, login e credenciais de senha que permitiram que a vítima se conectasse e se envolvesse em uma discussão com os agentes de ameaças por trás do ataque de ransomware”.

No entanto, vítimas de ransomware e pesquisadores de segurança descobriram rapidamente que o ransomware Onyx destruía arquivos maiores que 2 MB e isso se devia à limitação de criptografia do ransomware Chaos com o qual compartilhava 98% de seu código.

Os pesquisadores da BlackBerry também se depararam com uma conversa entre a gangue Onyx e uma das vítimas no site de negociação onde alguém alegando ser o criador do Chaos tentou promover a versão mais recente de seu ransomware e esclarecer que ele não tem mais esses 2MB de limitação de arquivo. O suposto criador do Chaos também aproveitou para confirmar que Onyx é baseado em uma versão mais antiga de seu programa.

Durante sua curta vida, a gangue Onyx atacou organizações sediadas nos EUA dos setores financeiro, comercial, médico e agrícola, bem como serviços de emergência. Embora não esteja claro qual é a relação entre a gangue Onyx e o criador do Chaos, o sucesso da gangue pode gerar mais interesse no Chaos de outros cibercriminosos, especialmente porque as limitações de criptografia foram corrigidas.

Um problema sério com os ataques Onyx é que muitos arquivos são destruídos, o que vai contra as práticas de muitos pushers de ransomware. Embora tenha havido muitas exceções ao longo do tempo, historicamente a maioria das gangues de ransomware cumpriu sua promessa de descriptografar arquivos. A razão provável é a reputação, porque eles querem que as vítimas possam confiar em suas reivindicações e pagar.

De acordo com Christopher Boyd, Pesquisador da Malwarebytes, esse círculo criminoso de confiança diminuiu nos últimos anos porque alguns grupos continuaram a extorsão depois de serem pagos. Agora também existem muito mais grupos envolvidos nesse tipo de atividade do que antes e eles aparecem e desaparecem com bastante frequência, deixando as vítimas sem solução. Depois, há um ransomware defeituoso como o Onyx (Chaos) que torna a recuperação impossível.

“Em 2022, qualquer pretensão de expectativas ou confiança dos autores de ransomware navegou na névoa, para nunca mais voltar”, disse Boyd em um post no blog em abril. “O ransomware agora é muito grande e pesado demais para fazer qualquer sentido real da operação esperada. O que podemos esperar é que a extorsão continue mesmo depois que o resgate for pago. Como o artigo observa, uma combinação de RaaS [ransomware como serviço] ter vida curta e os afiliados principalmente fazerem suas próprias coisas, independentemente das expectativas do grupo principal, significa que é praticamente gratuito para todos”.

Do caos a Yashma

O problema de criptografia foi corrigido na versão 5 do Chaos, lançada no início de 2022, tornando o ransomware muito mais lento, mas capaz de criptografar todos os tamanhos de arquivo. Esta versão também adicionou um decodificador mais refinado e a capacidade de criptografar arquivos além daqueles na unidade C:\, tornando-o mais perigoso, mas não foi feito.

Em maio, o grupo de cibercriminosos de ransomware foi renomeado mais uma vez com o lançamento da versão 6, que agora se chama Yashma. Esta versão adicionou a capacidade dos invasores de configurar o ransomware para não ser executado, dependendo do idioma definido no dispositivo da vítima. Essa é uma técnica frequentemente usada por autores de malware para evitar a infecção de computadores em seu próprio país ou região, o que atrairia o interesse das autoridades locais. Além disso, o Yashma agora também pode interromper vários serviços executados nos computadores das vítimas, incluindo programas antivírus, serviços de backup, serviços de armazenamento, serviços de desktop remoto e serviços de cofre de credenciais.

Houve poucas infecções com Yashma na natureza até agora, mas elas podem aumentar facilmente, especialmente porque está facilmente disponível em fóruns clandestinos. Existem até versões vazadas que os cibercriminosos não precisam pagar.

“Rastrear ataques de ransomware atribuídos ao Chaos [é] bastante difícil, pois os indicadores de comprometimento (IOCs) podem mudar com cada amostra que um criador de malware produz”, disseram os pesquisadores da BlackBerry. “Além disso, mesmo os agentes de ameaças mais iniciantes podem encontrar links para lançamentos e vazamentos dessa ameaça em fóruns da dark web ou repositórios de malware de terceiros e, em seguida, usar o Chaos/Yashma para realizar futuras atividades maliciosas”.

Os pesquisadores da BlackBerry incluíram indicadores conhecidos de comprometimento, bem como regras de detecção YARA em seu relatório.

Tags:
Chaos
cibercriminosos
ransomware
segurança

Notícias relacionadas

Notícias
KPMG: segurança é encarada como maior desafio do low-code
Cibersegurança
8 fatores para manter a segurança cibernética nas empresas
Notícias
Veeam anuncia compra da Coveware
Notícias
Sicoob Engecred investe em tecnologia e se torna cooperativa plena
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.