Chaos-Malware wandelt auf dem schmalen Grat zwischen Ransomware und Wiper

  • Die gefährliche Malware hat sich seit Juni rasant entwickelt und könnte schon bald in die freie Wildbahn entlassen werden.

    Es wurde eine im Bau befindliche Malware namens Chaos entdeckt, die in einem Untergrundforum als zum Testen verfügbar angepriesen wird. Obwohl sie sich selbst als Ransomware bezeichnet, hat eine Analyse ergeben, dass es sich eigentlich eher um einen Wiper handelt.

    Nach Angaben des Trend Micro Forschers Monte de Jesus ist Chaos seit Juni auf dem Markt und hat bereits vier verschiedene Versionen durchlaufen, von denen die letzte am 5. August veröffentlicht wurde. Diese rasante Entwicklung könnte bedeuten, dass es bald einsatzbereit ist, aber bisher wurde es noch nicht für tatsächliche Angriffe verwendet, sagte er.

    Chaos gab anfangs vor, eine .NET-Version der Ryuk-Ransomware zu sein – ein Trick, den es mit dem Ryuk-Branding auf seiner Benutzeroberfläche voll ausnutzte. Ein Blick unter die Haube der ersten Version verrät laut de Jesus jedoch nur wenig von diesem angeblichen Erbe. Stattdessen ähnelt das Beispiel “eher einem zerstörerischen Trojaner als traditioneller Ransomware”, so de Jesus in einer Analyse vom Dienstag.

    Er fügte hinzu: “Anstatt Dateien zu verschlüsseln (die dann entschlüsselt werden konnten, nachdem das Ziel das Lösegeld bezahlt hatte), ersetzte er den Inhalt der Dateien durch Zufallsbytes, woraufhin die Dateien in Base64 kodiert wurden. Dies bedeutete, dass die betroffenen Dateien nicht mehr wiederhergestellt werden konnten, so dass die Opfer keinen Anreiz hatten, das Lösegeld zu zahlen.

    Diese Version von Chaos hatte noch weitere bemerkenswerte Tricks in petto.

    “Eine der interessanteren Funktionen von Chaos Version 1.0 war seine Wurmfunktion, die es ihm ermöglichte, sich auf alle Laufwerke eines betroffenen Systems zu verbreiten”, schrieb de Jesus. “Dies könnte es der Malware ermöglichen, auf Wechsellaufwerke überzuspringen und aus luftdicht verschlossenen Systemen zu entkommen.

    Nach der Installation suchte diese erste Version von Chaos nach verschiedenen Dateipfaden und -erweiterungen, um sie zu infizieren, und hinterließ dann eine Ransomware-Notiz mit dem Namen read_it.txt, in der .147 Bitcoin gefordert wurden, was nach dem heutigen Wechselkurs etwa 6.600 US-Dollar entspricht.

    [Blocked Image: https://alltechnews.de/daten/2021/08/Chaos-Malware-wandelt-auf-dem-schmalen-Grat-zwischen-Ransomware-und-Wiper.png]

    Die zweite Version fügte erweiterte Optionen für Administratorrechte hinzu, die Möglichkeit, alle Volumenschattenkopien und den Sicherungskatalog zu löschen, sowie die Möglichkeit, den Windows-Wiederherstellungsmodus zu deaktivieren.

    “Die Version 2.0 überschrieb jedoch weiterhin die Dateien der Zielcomputer”, so de Jesus. “Mitglieder des Forums, in dem die Software gepostet wurde, wiesen darauf hin, dass die Opfer das Lösegeld nicht zahlen würden, wenn ihre Dateien nicht wiederhergestellt werden könnten.

    Chaos wurde mit Version 3.0 noch ransomware-ähnlicher, als es Verschlüsselung in den Mix einbrachte. Diese Version war in der Lage, Dateien unter 1 MB mit AES/RSA-Verschlüsselung zu verschlüsseln, und verfügte dem Forscher zufolge über einen Decryptor-Builder.

    Anfang August tauchte dann die vierte Iteration von Chaos im Forum auf, mit einer Erweiterung der AES/RSA-Verschlüsselungsfunktion. Jetzt können Dateien bis zu einer Größe von 2 MB verschlüsselt werden. Der Analyse zufolge können die Betreiber verschlüsselte Dateien mit ihren eigenen proprietären Erweiterungen versehen, wie es auch bei anderen Ransomware-Programmen der Fall ist. Die Software bietet auch die Möglichkeit, das Desktop-Hintergrundbild ihrer Opfer zu ändern.

    Ransomware ist im Jahr 2021 auf dem Vormarsch. Einem aktuellen Bericht zufolge stieg das weltweite Angriffsvolumen in den ersten sechs Monaten des Jahres um 151 Prozent im Vergleich zum Vorjahreszeitraum. In der Zwischenzeit hat das FBI davor gewarnt, dass mittlerweile 100 verschiedene Ransomware-Stämme in der Welt kursieren. Die am meisten verbreitete Ransomware in freier Wildbahn ist Ryuk, so der Bericht, was erklären könnte, warum die Chaos-Autoren versucht haben, auf dessen Spuren zu wandeln.

    Im Moment befindet sich die Chaos-Ransomware” noch in der Entwicklung, so de Jesus, so dass neue Versionen wahrscheinlich schon in Sicht sind. So fehlt ihr beispielsweise die Fähigkeit zur Datenexfiltration, über die fast alle größeren Ransomware-Familien inzwischen verfügen, um doppelte Erpressungsversuche zu ermöglichen – ein Versäumnis, das wahrscheinlich behoben werden wird.

    Im Wesentlichen handelt es sich bei Chaos dem Forscher zufolge um eine Proof-of-Concept-Malware, die jedoch in den falschen Händen gefährlich sein könnte, da sie in der Lage ist, Dateien zu zerstören.

    In den Händen eines böswilligen Akteurs, der Zugang zur Infrastruktur für die Verteilung und den Einsatz von Malware hat, könnte sie Unternehmen großen Schaden zufügen”, so der Forscher.

    Machen Sie sich Sorgen, woher der nächste Angriff kommen könnte? Wir halten Ihnen den Rücken frei. Registrieren Sie sich jetzt für unser kommendes Live-Webinar “How to Think Like a Threat Actor” in Zusammenarbeit mit Uptycs. Finden Sie heraus, wo genau Angreifer Sie ins Visier nehmen und wie Sie zuerst dorthin gelangen können. Seien Sie dabei, wenn Moderatorin Becky Bracken und die Uptycs-Forscher Amit Malik und Ashwin Vamshi am 17. August um 11 Uhr EST an dieser LIVE-Diskussion teilnehmen.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com