El poderoso malware Chaos ha evolucionado una vez más, transformándose en una nueva amenaza multiplataforma basada en Go que no se parece en nada a su versión anterior de ransomware. Ahora apunta a vulnerabilidades de seguridad conocidas para lanzar ataques distribuidos de denegación de servicio (DDoS) y realizar criptominería.
Investigadores de Black Lotus Labs, el brazo de inteligencia de amenazas de Lumen Technologies, observaron recientemente una versión de Chaos escrita en chino, que aprovecha la infraestructura con sede en China y muestra un comportamiento muy diferente a la última actividad vista por el creador de ransomware del mismo nombre. ellos dijeron en un blog publicado el 28 de septiembre.
De hecho, las distinciones entre las variantes anteriores del Caos y los 100 grupos distintos y recientes del Caos que observaron los investigadores son tan diferentes que dicen que plantea una amenaza completamente nueva. De hecho, los investigadores creen que la última variante es en realidad la evolución de la Botnet DDoS Kaiji y tal vez “distinto del creador de ransomware Chaos” visto anteriormente en la naturaleza, dijeron.
Kaiji, descubierto en 2020, originalmente apuntaba a servidores AMD e i386 basados en Linux aprovechando la fuerza bruta SSH para infectar nuevos bots y luego lanzar ataques DDoS. Chaos ha evolucionado las capacidades originales de Kaiji para incluir módulos para nuevas arquitecturas, incluido Windows, además de agregar nuevos módulos de propagación a través de la explotación CVE y la recolección de claves SSH, dijeron los investigadores.
Actividad caótica reciente
En una actividad reciente, Chaos comprometió con éxito un servidor GitLab y desplegó una serie de ataques DDoS dirigidos a las industrias de juegos, tecnología y servicios financieros, medios y entretenimiento, junto con proveedores de servicios DDoS y un intercambio de criptomonedas.
El caos ahora se dirige no sólo a empresas y grandes organizaciones sino también a "dispositivos y sistemas que no son monitoreados rutinariamente como parte de un modelo de seguridad empresarial, como los enrutadores SOHO y el sistema operativo FreeBSD", dijeron los investigadores.
Y aunque la última vez que se vio a Chaos en la naturaleza actuaba más como un ransomware típico que ingresaba a las redes con el propósito de cifrar archivos, los actores detrás de la última variante tienen motivos muy diferentes en mente, dijeron los investigadores.
Su funcionalidad multiplataforma y de dispositivo, así como el perfil sigiloso de la infraestructura de red detrás de la última actividad de Chaos, parece demostrar que el objetivo de la campaña es cultivar una red de dispositivos infectados para aprovechar el acceso inicial, los ataques DDoS y la criptominería. , según los investigadores.
Diferencias clave y una similitud
Mientras que las muestras anteriores de Chaos se escribieron en .NET, el último malware está escrito en Go, que se está convirtiendo rápidamente en un idioma de elección para los actores de amenazas debido a su flexibilidad multiplataforma, bajas tasas de detección de antivirus y dificultad para realizar ingeniería inversa, dijeron los investigadores.
Y, de hecho, una de las razones por las que la última versión de Chaos es tan poderosa es porque opera en múltiples plataformas, incluidos no solo los sistemas operativos Windows y Linux, sino también ARM, Intel (i386), MIPS y PowerPC, dijeron.
También se propaga de una manera muy diferente a las versiones anteriores del malware. Si bien los investigadores no pudieron determinar su vector de acceso inicial, una vez que se apodera de un sistema, las últimas variantes del Caos explotan vulnerabilidades conocidas de una manera que muestra la capacidad de girar rápidamente, señalaron los investigadores.
“Entre las muestras que analizamos se reportaron CVEs para Huawei (CVE-2017-17215) y Zyxel (CVE-2022-30525) firewalls personales, los cuales aprovecharon vulnerabilidades de inyección de línea de comando remota no autenticadas”, observaron en su publicación. "Sin embargo, el archivo CVE parece trivial para que el actor lo actualice, y evaluamos que es muy probable que el actor aproveche otros CVE".
De hecho, el caos ha pasado por numerosas encarnaciones desde que surgió por primera vez en junio de 2021 y es probable que esta última versión no sea la última, dijeron los investigadores. Su primera iteración, Chaos Builder 1.0-3.0, pretendía ser un constructor para una versión .NET del ransomware Ryuk, pero los investigadores pronto notaron que se parecía poco a Ryuk y en realidad era un limpiador.
El malware evolucionó en varias versiones hasta la versión cuatro del generador Chaos, que se lanzó a finales de 2021 y recibió un impulso cuando un grupo de amenazas llamado Onyx creó su propio ransomware. Esta versión rápidamente se convirtió en la edición Chaos más común observada directamente en la naturaleza, cifrando algunos archivos pero manteniéndolos sobrescritos y destruyendo la mayoría de los archivos en su camino.
A principios de mayo de este año, el constructor del Caos cambió sus capacidades de limpieza por encriptación, apareciendo con un binario renombrado llamado Yashma que incorporaba capacidades de ransomware completas.
Si bien la evolución más reciente de Chaos presenciada por Black Lotus Labs es muy diferente, tiene una similitud significativa con sus predecesores: un crecimiento rápido que es poco probable que se desacelere pronto, dijeron los investigadores.
El primer certificado de la última variante del Caos se generó el 16 de abril; Posteriormente, los investigadores creen que los actores de amenazas lanzaron la nueva variante en libertad.
Desde entonces, el número de certificados autofirmados de Chaos ha mostrado un "marcado crecimiento", duplicándose con creces en mayo a 39 y luego saltando a 93 en el mes de agosto, dijeron los investigadores. Al 20 de septiembre, el mes actual ya superó el total del mes anterior con la generación de 94 certificados Caos, dijeron.
Mitigar el riesgo en todos los ámbitos
Debido a que el Caos ahora está atacando a víctimas desde las oficinas domésticas más pequeñas hasta las empresas más grandes, los investigadores hicieron recomendaciones específicas para cada tipo de objetivo.
Para aquellos que defienden las redes, aconsejaron que los administradores de red se mantengan al tanto de la gestión de parches para las vulnerabilidades recién descubiertas, ya que esta es una de las principales formas en que se propaga el Caos.
"Utilice los IoC descritos en este informe para monitorear una infección del Caos, así como las conexiones a cualquier infraestructura sospechosa", recomendaron los investigadores.
Los consumidores con enrutadores para oficinas pequeñas y domésticas deben seguir las mejores prácticas de reiniciar periódicamente los enrutadores e instalar actualizaciones y parches de seguridad, así como aprovechar soluciones EDR correctamente configuradas y actualizadas en los hosts. Estos usuarios también deben parchear el software periódicamente aplicando las actualizaciones de los proveedores cuando corresponda.
Trabajadores remotos (una superficie de ataque que ha aumentado significativamente durante los últimos dos años de la pandemia) también están en riesgo y deberían mitigarlo cambiando las contraseñas predeterminadas y deshabilitando el acceso remoto a la raíz en las máquinas que no lo requieren, recomendaron los investigadores. Estos trabajadores también deben almacenar las claves SSH de forma segura y sólo en los dispositivos que las requieran.
Para todas las empresas, Black Lotus Labs recomienda considerar la aplicación de protecciones integrales de mitigación de DDoS y borde de servicio de acceso seguro (SASE) para reforzar sus posturas de seguridad generales y permitir una detección sólida en las comunicaciones basadas en red.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
