Die mächtige Chaos-Malware hat sich erneut weiterentwickelt und sich in eine neue Go-basierte Multiplattform-Bedrohung verwandelt, die keinerlei Ähnlichkeit mit ihrer vorherigen Ransomware-Variante aufweist. Es zielt nun auf bekannte Sicherheitslücken ab, um DDoS-Angriffe (Distributed Denial of Service) zu starten und Kryptomining durchzuführen.
Forscher von Black Lotus Labs, dem Threat-Intelligence-Zweig von Lumen Technologies, haben kürzlich eine auf Chinesisch geschriebene Version von Chaos beobachtet, die sich die in China ansässige Infrastruktur zunutze macht und ein ganz anderes Verhalten an den Tag legt als die letzte Aktivität, die der gleichnamige Ransomware-Entwickler beobachtet hat. Sie sagten in einem Blog-Post veröffentlicht am 28. September.
Tatsächlich sind die Unterschiede zwischen früheren Chaos-Varianten und den 100 verschiedenen und neueren Chaos-Clustern, die Forscher beobachtet haben, so unterschiedlich, dass sie sagen, es stelle eine völlig neue Bedrohung dar. Tatsächlich glauben Forscher, dass es sich bei der neuesten Variante tatsächlich um eine Weiterentwicklung handelt DDoS-Botnetz Kaiji und vielleicht „unterscheidet sich vom Chaos-Ransomware-Builder“, der zuvor in freier Wildbahn gesehen wurde, sagten sie.
Kaiji, das im Jahr 2020 entdeckt wurde, zielte ursprünglich auf Linux-basierte AMD- und i386-Server ab, indem es SSH-Brute-Force nutzte, um neue Bots zu infizieren und dann DDoS-Angriffe zu starten. Chaos hat die ursprünglichen Fähigkeiten von Kaiji weiterentwickelt, um Module für neue Architekturen – einschließlich Windows – sowie neue Ausbreitungsmodule durch CVE-Ausnutzung und SSH-Schlüsselernte hinzuzufügen, sagten die Forscher.
Aktuelle Chaos-Aktivität
Bei den jüngsten Aktivitäten hat Chaos erfolgreich einen GitLab-Server kompromittiert und eine Flut von DDoS-Angriffen ausgelöst, die auf die Gaming-, Finanzdienstleistungs- und Technologiebranche sowie die Medien- und Unterhaltungsbranche sowie auf DDoS-as-a-Service-Anbieter und eine Kryptowährungsbörse abzielten.
Chaos zielt nun nicht nur auf Unternehmen und große Organisationen ab, sondern auch auf „Geräte und Systeme, die nicht routinemäßig im Rahmen eines Unternehmenssicherheitsmodells überwacht werden, wie etwa SOHO-Router und FreeBSD-Betriebssysteme“, so die Forscher.
Und während das letzte Mal, als Chaos in freier Wildbahn gesichtet wurde, es sich eher wie eine typische Ransomware verhielt, die in Netzwerke eindrang, um Dateien zu verschlüsseln, haben die Akteure hinter der neuesten Variante ganz andere Motive im Sinn, sagen die Forscher.
Seine plattform- und geräteübergreifende Funktionalität sowie das Stealth-Profil der Netzwerkinfrastruktur hinter der neuesten Chaos-Aktivität scheinen zu zeigen, dass das Ziel der Kampagne darin besteht, ein Netzwerk infizierter Geräte aufzubauen, das für Erstzugriffe, DDoS-Angriffe und Kryptomining genutzt werden kann , so die Forscher.
Hauptunterschiede und eine Gemeinsamkeit
Während frühere Beispiele von Chaos in .NET geschrieben wurden, ist die neueste Malware in Go geschrieben, das sich schnell zu einem entwickelt Sprache der Wahl Für Bedrohungsakteure aufgrund seiner plattformübergreifenden Flexibilität, der geringen Antiviren-Erkennungsraten und der Schwierigkeit beim Reverse Engineering, sagten die Forscher.
Und tatsächlich sei einer der Gründe dafür, dass die neueste Version von Chaos so leistungsstark sei, weil sie auf mehreren Plattformen laufe, darunter nicht nur Windows- und Linux-Betriebssysteme, sondern auch ARM, Intel (i386), MIPS und PowerPC, sagten sie.
Außerdem verbreitet sie sich auf ganz andere Weise als frühere Versionen der Malware. Während die Forscher nicht in der Lage waren, den anfänglichen Zugriffsvektor zu ermitteln, nutzen die neuesten Chaos-Varianten, sobald sie ein System erfasst haben, bekannte Schwachstellen auf eine Weise aus, die die Fähigkeit zur schnellen Umstellung zeigt, stellten die Forscher fest.
„Unter den Proben, die wir analysiert haben, wurde berichtet CVEs für Huawei (CVE-2017-17215) und Zyxel (CVE-2022-30525) persönliche Firewalls, die beide Schwachstellen durch nicht authentifizierte Remote-Befehlszeileninjektion ausnutzten“, stellten sie in ihrem Beitrag fest. „Allerdings scheint es für den Akteur einfach zu sein, die CVE-Datei zu aktualisieren, und wir halten es für sehr wahrscheinlich, dass der Akteur andere CVEs nutzt.“
Das Chaos hat seit seinem ersten Auftreten im Juni 2021 tatsächlich zahlreiche Inkarnationen durchlaufen, und diese neueste Version wird wahrscheinlich nicht die letzte sein, sagten die Forscher. Seine erste Iteration, Chaos Builder 1.0-3.0, sollte angeblich ein Builder für eine .NET-Version der Ryuk-Ransomware sein, aber die Forscher stellten bald fest, dass es wenig Ähnlichkeit mit Ryuk hatte und tatsächlich ein Wischer war.
Die Malware entwickelte sich über mehrere Versionen hinweg weiter, bis Version vier des Chaos-Builders Ende 2021 veröffentlicht wurde und einen Aufschwung erhielt, als eine Bedrohungsgruppe namens Onyx ihre eigene Ransomware erstellte. Diese Version wurde schnell zur am weitesten verbreiteten Chaos-Edition, die direkt in freier Wildbahn beobachtet wurde. Sie verschlüsselte einige Dateien, überschrieb jedoch die meisten Dateien in ihrem Pfad und zerstörte sie.
Anfang dieses Jahres im Mai der Chaos-Builder tauschte seine Wiper-Fähigkeiten gegen Verschlüsselung ein, tauchte mit einer umbenannten Binärdatei namens Yashma auf, die vollwertige Ransomware-Funktionen enthielt.
Während die jüngste Entwicklung des Chaos, die Black Lotus Labs beobachtete, ganz anders ist, weist sie doch eine wesentliche Ähnlichkeit mit ihren Vorgängern auf – ein schnelles Wachstum, das sich in absehbarer Zeit wahrscheinlich nicht verlangsamen wird, sagten die Forscher.
Das früheste Zertifikat der neuesten Chaos-Variante wurde am 16. April generiert; Zu diesem Zeitpunkt gehen Forscher davon aus, dass Bedrohungsakteure die neue Variante in freier Wildbahn eingeführt haben.
Seitdem habe die Zahl der selbstsignierten Chaos-Zertifikate ein „deutliches Wachstum“ verzeichnet: Sie habe sich im Mai auf 39 mehr als verdoppelt und sei dann im August auf 93 gestiegen, sagten die Forscher. Mit Stand vom 20. September habe der aktuelle Monat mit der Generierung von 94 Chaos-Zertifikaten bereits die Gesamtzahl des Vormonats übertroffen, hieß es.
Risikominderung auf ganzer Linie
Da das Chaos mittlerweile Opfer von den kleinsten Heimbüros bis hin zu den größten Unternehmen angreift, gaben die Forscher spezifische Empfehlungen für jede Art von Ziel.
Für diejenigen, die Netzwerke verteidigen, rieten sie Netzwerkadministratoren, die Patch-Verwaltung für neu entdeckte Schwachstellen im Auge zu behalten, da dies eine Hauptursache für die Ausbreitung von Chaos sei.
„Verwenden Sie die in diesem Bericht beschriebenen IoCs, um eine Chaos-Infektion sowie Verbindungen zu verdächtigen Infrastrukturen zu überwachen“, empfahlen die Forscher.
Verbraucher mit Routern für kleine Büros und Heimbüros sollten die Best Practices befolgen, Router regelmäßig neu zu starten und Sicherheitsupdates und Patches zu installieren sowie ordnungsgemäß konfigurierte und aktualisierte EDR-Lösungen auf Hosts zu nutzen. Diese Benutzer sollten außerdem regelmäßig Software-Updates durchführen, indem sie ggf. Updates von Anbietern anwenden.
Fernarbeiter – eine Angriffsfläche, die in den letzten zwei Jahren der Pandemie erheblich zugenommen hat – seien ebenfalls gefährdet und sollten diese durch Ändern von Standardkennwörtern und Deaktivieren des Remote-Root-Zugriffs auf Computern, die dies nicht benötigen, eindämmen, empfahlen die Forscher. Solche Mitarbeiter sollten SSH-Schlüssel außerdem sicher und nur auf Geräten speichern, die sie benötigen.
Black Lotus Labs empfiehlt allen Unternehmen, die Anwendung umfassender Secure Access Service Edge (SASE)- und DDoS-Abwehrschutzmaßnahmen in Betracht zu ziehen, um ihre allgemeine Sicherheitslage zu stärken und eine robuste Erkennung netzwerkbasierter Kommunikation zu ermöglichen.
