Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về phiên bản mới nhất của dòng ransomware Chaos, có tên là Yashma.
Nhóm nghiên cứu và tình báo của BlackBerry cho biết trong một báo cáo được chia sẻ với The Hacker News: “Mặc dù trình tạo ransomware Chaos mới chỉ xuất hiện được một năm, nhưng Yashma tuyên bố là phiên bản thứ sáu (v6.0) của phần mềm độc hại này”.
Chaos là một trình xây dựng ransomware có thể tùy chỉnh, đã xuất hiện trên các diễn đàn ngầm vào ngày 9 tháng 6 năm 2021, bằng cách tiếp thị sai chính nó là phiên bản .NET của Ryuk mặc dù không có sự trùng lặp nào như vậy với đối tác khét tiếng.
Thực tế là nó được chào bán cũng có nghĩa là bất kỳ tác nhân độc hại nào cũng có thể mua trình xây dựng và phát triển các chủng ransomware của riêng họ, biến nó thành một mối đe dọa tiềm tàng.
Kể từ đó, nó đã trải qua năm lần lặp lại liên tiếp nhằm cải thiện các chức năng của mình: phiên bản 2.0 vào ngày 17 tháng 6, phiên bản 3.0 vào ngày 5 tháng 7, phiên bản 4.0 vào ngày 5 tháng 8 và phiên bản 5.0 vào đầu năm 2022.
Trong khi ba biến thể đầu tiên của Chaos hoạt động giống như một trojan phá hoại hơn là ransomware truyền thống, Chaos 4.0 đã mở rộng quy trình mã hóa của nó bằng cách tăng giới hạn trên của các tệp có thể được mã hóa lên 2,1MB.
Phiên bản 4.0 cũng đã được tập hợp ransomware có tên là Onyx tích cực vũ khí hóa kể từ tháng 4 năm 2022 bằng cách sử dụng ghi chú tiền chuộc cập nhật và danh sách tinh chỉnh các phần mở rộng tệp có thể được nhắm mục tiêu.
Các nhà nghiên cứu giải thích: “Chaos 5.0 đã cố gắng giải quyết vấn đề lớn nhất của các lần lặp lại trước đó của mối đe dọa, đó là nó không thể mã hóa các tệp lớn hơn 2MB mà không làm hỏng chúng một cách không thể khắc phục”.
Yashma là phiên bản mới nhất tham gia danh sách này, có hai cải tiến mới, bao gồm khả năng dừng thực thi dựa trên vị trí của nạn nhân và chấm dứt các quy trình khác nhau liên quan đến phần mềm chống vi-rút và sao lưu.
Các nhà nghiên cứu cho biết: “Sự hỗn loạn bắt đầu như một nỗ lực tương đối cơ bản nhằm vào một ransomware do .NET biên dịch. “Theo thời gian, nó đã phát triển để trở thành một ransomware chính thức, bổ sung thêm các tính năng và chức năng sau mỗi lần lặp lại.”
Sự phát triển này diễn ra khi một biến thể ransomware Chaos được phát hiện đứng về phía Nga trong cuộc chiến đang diễn ra chống lại Ukraine, với hoạt động hậu mã hóa dẫn đến một cảnh báo có chứa liên kết dẫn đến một trang web có thông điệp thân Nga.
“Kẻ tấn công không có ý định cung cấp công cụ giải mã hoặc hướng dẫn khôi phục tệp để nạn nhân khôi phục các tệp bị ảnh hưởng của họ”, Fortinet FortiGuard Labs tiết lộ vào tuần trước, thêm vào đó “khiến phần mềm độc hại trở thành kẻ phá hủy tệp.”
.
