Des chercheurs en cybersécurité ont dévoilé les détails de la dernière version de la gamme de rançongiciels Chaos, baptisée Yashma.
« Bien que Chaos ransomware builder ne soit dans la nature que depuis un an, Yashma prétend être la sixième version (v6.0) de ce malware », a déclaré l’équipe de recherche et de renseignement de BlackBerry dans un communiqué. rapport partagé avec The Hacker News.
Chaos est un générateur de rançongiciel personnalisable qui a émergé dans des forums clandestins le 9 juin 2021, en se commercialisant à tort comme la version .NET de Ryuk malgré le fait qu’il ne partage aucun chevauchement avec son homologue notoire.
Le fait qu’il soit proposé à la vente signifie également que tout acteur malveillant peut acheter le constructeur et développer ses propres souches de ransomware, le transformant en une menace puissante.
Il a depuis connu cinq itérations successives visant à améliorer ses fonctionnalités : version 2.0 le 17 juin, version 3.0 le 5 juillet, version 4.0 le 5 août et version 5.0 début 2022.
Alors que les trois premières variantes de Chaos fonctionnaient plus comme un cheval de Troie destructeur que les rançongiciels traditionnels, Chaos 4.0 a étendu son processus de cryptage en augmentant la limite supérieure des fichiers pouvant être cryptés à 2,1 Mo.
La version 4.0 a également été activement militarisée par un collectif de rançongiciels connu sous le nom d’Onyx à partir d’avril 2022 en utilisant une note de rançon mise à jour et une liste affinée d’extensions de fichiers pouvant être ciblées.
« Chaos 5.0 a tenté de résoudre le plus gros problème des itérations précédentes de la menace, à savoir qu’il était incapable de chiffrer des fichiers de plus de 2 Mo sans les corrompre irrémédiablement », ont expliqué les chercheurs.
Yashma est la dernière version à rejoindre cette liste, avec deux nouvelles améliorations, notamment la possibilité d’arrêter l’exécution en fonction de l’emplacement de la victime et de mettre fin à divers processus associés aux logiciels antivirus et de sauvegarde.
« Chaos a commencé comme une tentative relativement basique d’un ransomware compilé .NET qui fonctionnait plutôt comme un destructeur de fichiers ou un effaceur », ont déclaré les chercheurs. « Au fil du temps, il a évolué pour devenir un rançongiciel à part entière, ajoutant des fonctionnalités et des fonctionnalités supplémentaires à chaque itération. »
Le développement intervient alors qu’une variante du rançongiciel Chaos a été repérée du côté de la Russie dans sa guerre en cours contre l’Ukraine, avec l’activité de post-cryptage menant à une alerte contenant un lien qui dirige vers un site Web avec des messages pro-russes.
« L’attaquant n’a pas l’intention de fournir un outil de décryptage ou des instructions de récupération de fichiers à ses victimes pour récupérer leurs fichiers affectés », a révélé Fortinet FortiGuard Labs la semaine dernière, ajoutant que cela « fait du malware un destructeur de fichiers ».