Le puissant malware Chaos a encore évolué, se transformant en une nouvelle menace multiplateforme basée sur Go qui ne ressemble en rien à sa précédente itération de ransomware. Il cible désormais les vulnérabilités de sécurité connues pour lancer des attaques par déni de service distribué (DDoS) et effectuer du cryptominage.
Des chercheurs de Black Lotus Labs, la branche de renseignement sur les menaces de Lumen Technologies, ont récemment observé une version de Chaos écrite en chinois, tirant parti de l'infrastructure basée en Chine et présentant un comportement très différent de la dernière activité observée par le constructeur de rançongiciels du même nom, ils ont dit dans un billet de blog publié le 28 septembre.
En effet, les distinctions entre les variantes antérieures du Chaos et les 100 clusters distincts et récents du Chaos que les chercheurs ont observés sont si différentes qu'ils disent qu'il représente une toute nouvelle menace. En fait, les chercheurs pensent que la dernière variante est en fait l'évolution de la Le botnet DDoS Kaiji et peut-être "distinct du générateur de rançongiciel Chaos" précédemment vu dans la nature, ont-ils déclaré.
Kaiji, découvert en 2020, ciblait à l'origine les serveurs AMD et i386 basés sur Linux en tirant parti de la force brute SSH pour infecter de nouveaux bots, puis lancer des attaques DDoS. Chaos a fait évoluer les capacités originales de Kaiji pour inclure des modules pour de nouvelles architectures - y compris Windows - ainsi que l'ajout de nouveaux modules de propagation via l'exploitation CVE et la collecte de clés SSH, ont déclaré les chercheurs.
Activité récente du Chaos
Au cours d'une activité récente, Chaos a réussi à compromettre un serveur GitLab et a déployé une vague d'attaques DDoS ciblant les secteurs du jeu, des services et technologies financiers, des médias et du divertissement, ainsi que des fournisseurs de DDoS en tant que service et un échange de crypto-monnaie.
Chaos cible désormais non seulement les entreprises et les grandes organisations, mais également « les appareils et les systèmes qui ne sont pas systématiquement surveillés dans le cadre d'un modèle de sécurité d'entreprise, tels que les routeurs SOHO et le système d'exploitation FreeBSD », ont déclaré les chercheurs.
Et alors que la dernière fois que Chaos a été repéré dans la nature, il agissait davantage comme un ransomware typique qui pénétrait dans les réseaux dans le but de chiffrer des fichiers, les acteurs derrière la dernière variante ont des motifs très différents en tête, ont déclaré les chercheurs.
Sa fonctionnalité multiplateforme et périphérique ainsi que le profil furtif de l'infrastructure réseau derrière la dernière activité Chaos semblent démontrer que l'objectif de la campagne est de cultiver un réseau d'appareils infectés à exploiter pour l'accès initial, les attaques DDoS et le cryptominage. , selon les chercheurs.
Principales différences et une similitude
Alors que les exemples précédents de Chaos étaient écrits en .NET, le dernier malware est écrit en Go, qui devient rapidement un langue de choix pour les acteurs de la menace en raison de sa flexibilité multiplateforme, de ses faibles taux de détection antivirus et de sa difficulté à faire de l'ingénierie inverse, ont déclaré les chercheurs.
Et en effet, l'une des raisons pour lesquelles la dernière version de Chaos est si puissante est qu'elle fonctionne sur plusieurs plates-formes, y compris non seulement les systèmes d'exploitation Windows et Linux, mais aussi ARM, Intel (i386), MIPS et PowerPC, ont-ils déclaré.
Il se propage également d'une manière très différente des versions précédentes du logiciel malveillant. Alors que les chercheurs n'ont pas été en mesure de déterminer son vecteur d'accès initial, une fois qu'il s'est emparé d'un système, les dernières variantes de Chaos exploitent les vulnérabilités connues d'une manière qui montre la capacité de pivoter rapidement, ont noté les chercheurs.
"Parmi les échantillons que nous avons analysés ont été rapportés CVE pour Huawei (CVE-2017-17215) et Zyxel (CVE-2022-30525) des pare-feu personnels, qui exploitent tous deux des vulnérabilités d'injection de ligne de commande à distance non authentifiées », ont-ils observé dans leur article. "Cependant, le fichier CVE semble facile à mettre à jour pour l'acteur, et nous estimons qu'il est fort probable que l'acteur exploite d'autres CVE."
Le chaos a en effet connu de nombreuses incarnations depuis sa première apparition en juin 2021 et cette dernière version ne sera probablement pas la dernière, ont déclaré les chercheurs. Sa première itération, Chaos Builder 1.0-3.0, prétendait être un constructeur pour une version .NET du rançongiciel Ryuk, mais les chercheurs ont rapidement remarqué qu'il ne ressemblait guère à Ryuk et qu'il s'agissait en fait d'un essuie-glace.
Le logiciel malveillant a évolué sur plusieurs versions jusqu'à la version quatre du constructeur Chaos qui a été publié fin 2021 et a reçu un coup de pouce lorsqu'un groupe de menaces nommé Onyx a créé son propre logiciel de rançon. Cette version est rapidement devenue l'édition Chaos la plus courante directement observée dans la nature, cryptant certains fichiers mais conservant écrasés et détruisant la plupart des fichiers sur son chemin.
Plus tôt cette année en mai, le constructeur du Chaos a échangé ses capacités d'effacement contre le chiffrement, faisant surface avec un binaire rebaptisé Yashma qui incorporait des capacités de ransomware à part entière.
Bien que l'évolution la plus récente du Chaos observée par Black Lotus Labs soit très différente, elle présente une similitude significative avec ses prédécesseurs - une croissance rapide qui ne devrait pas ralentir de sitôt, ont déclaré les chercheurs.
Le premier certificat de la dernière variante du Chaos a été généré le 16 avril ; C'est par la suite que les chercheurs pensent que les acteurs de la menace ont lancé la nouvelle variante dans la nature.
Depuis lors, le nombre de certificats auto-signés du Chaos a montré une "croissance marquée", ayant plus que doublé en mai pour atteindre 39, puis passant à 93 pour le mois d'août, ont déclaré les chercheurs. Au 20 septembre, le mois en cours a déjà dépassé le total du mois précédent avec la génération de 94 certificats Chaos, ont-ils déclaré.
Atténuation des risques à tous les niveaux
Parce que Chaos attaque maintenant les victimes des plus petits bureaux à domicile aux plus grandes entreprises, les chercheurs ont fait des recommandations spécifiques pour chaque type de cible.
Pour ceux qui défendent les réseaux, ils ont conseillé aux administrateurs réseau de rester au top de la gestion des correctifs pour les vulnérabilités nouvellement découvertes, car c'est l'un des principaux moyens de propagation du chaos.
"Utilisez les IoC décrits dans ce rapport pour surveiller une infection du Chaos, ainsi que les connexions à toute infrastructure suspecte", ont recommandé les chercheurs.
Les consommateurs disposant de routeurs pour petits bureaux et bureaux à domicile doivent suivre les meilleures pratiques consistant à redémarrer régulièrement les routeurs et à installer des mises à jour et des correctifs de sécurité, ainsi qu'à tirer parti de solutions EDR correctement configurées et mises à jour sur les hôtes. Ces utilisateurs doivent également corriger régulièrement les logiciels en appliquant les mises à jour des fournisseurs, le cas échéant.
Travailleurs à distance - une surface d'attaque qui a considérablement augmenté au cours des deux dernières années de la pandémie - sont également à risque et devraient l'atténuer en modifiant les mots de passe par défaut et en désactivant l'accès root à distance sur les machines qui n'en ont pas besoin, ont recommandé les chercheurs. Ces travailleurs doivent également stocker les clés SSH en toute sécurité et uniquement sur les appareils qui en ont besoin.
Pour toutes les entreprises, Black Lotus Labs recommande d'envisager l'application de protections complètes SASE (Secure Access Service Edge) et d'atténuation DDoS pour renforcer leurs postures de sécurité globales et permettre une détection robuste sur les communications basées sur le réseau.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
