Los investigadores de seguridad cibernética han revelado detalles de la última versión de la línea de ransomware Chaos, denominada Yashma.
“Aunque el generador de ransomware Chaos solo ha estado en libertad durante un año, Yashma afirma ser la sexta versión (v6.0) de este malware”, dijo el equipo de investigación e inteligencia de BlackBerry en un comunicado. reporte compartido con The Hacker News.
Chaos es un generador de ransomware personalizable que surgido en foros clandestinos el 9 de junio de 2021, al promocionarse falsamente como la versión .NET de Ryuk a pesar de no compartir tales superposiciones con la notoria contraparte.
El hecho de que se ofrezca a la venta también significa que cualquier actor malicioso puede comprar el constructor y desarrollar sus propias variedades de ransomware, convirtiéndolo en una amenaza potente.
Desde entonces, ha pasado por cinco iteraciones sucesivas destinadas a mejorar sus funcionalidades: la versión 2.0 el 17 de junio, la versión 3.0 el 5 de julio, la versión 4.0 el 5 de agosto y la versión 5.0 a principios de 2022.
Si bien las tres primeras variantes de Chaos funcionaron más como un troyano destructivo que como un ransomware tradicional, Chaos 4.0 amplió su proceso de cifrado al aumentar el límite superior de archivos que se pueden cifrar a 2,1 MB.
La versión 4.0 también ha sido armada activamente por un colectivo de ransomware conocido como Onyx a partir de abril de 2022 mediante el uso de una nota de rescate actualizada y una lista refinada de extensiones de archivo a las que se puede apuntar.
“Chaos 5.0 intentó resolver el mayor problema de las iteraciones anteriores de la amenaza, a saber, que no podía cifrar archivos de más de 2 MB sin corromperlos irremediablemente”, explicaron los investigadores.
Yashma es la última versión en unirse a esta lista y presenta dos nuevas mejoras, incluida la capacidad de detener la ejecución en función de la ubicación de la víctima y finalizar varios procesos asociados con el antivirus y el software de respaldo.
“Chaos comenzó como un intento relativamente básico de un ransomware compilado en .NET que, en cambio, funcionaba como un destructor de archivos o limpiador”, dijeron los investigadores. “Con el tiempo, ha evolucionado hasta convertirse en un ransomware completo, agregando características y funcionalidades adicionales con cada iteración”.
El desarrollo se produce cuando se detectó una variante del ransomware Chaos del lado de Rusia en su guerra en curso contra Ucrania, con la actividad posterior al cifrado que conduce a una alerta que contiene un enlace que dirige a un sitio web con mensajes pro-rusos.
“El atacante no tiene la intención de proporcionar una herramienta de descifrado o instrucciones de recuperación de archivos para que sus víctimas recuperen sus archivos afectados”, reveló Fortinet FortiGuard Labs la semana pasada, y agregó que “hace que el malware sea un destructor de archivos”.