Malware Chaos yang kuat telah berevolusi lagi, berubah menjadi ancaman multiplatform berbasis Go baru yang tidak memiliki kemiripan dengan iterasi ransomware sebelumnya. Sekarang menargetkan kerentanan keamanan yang diketahui untuk meluncurkan serangan denial-of-service (DDoS) terdistribusi dan melakukan cryptomining.
Para peneliti dari Black Lotus Labs, lengan intelijen ancaman Lumen Technologies, baru-baru ini mengamati versi Chaos yang ditulis dalam bahasa China, memanfaatkan infrastruktur yang berbasis di China, dan menunjukkan perilaku yang jauh berbeda dari aktivitas terakhir yang dilihat oleh pembuat ransomware dengan nama yang sama, mereka berkata dalam posting blog diterbitkan 28 September.
Memang, perbedaan antara varian Chaos sebelumnya dan 100 klaster Chaos yang berbeda dan baru yang diamati oleh para peneliti sangat berbeda sehingga mereka mengatakan itu menimbulkan ancaman baru. Faktanya, para peneliti percaya varian terbaru sebenarnya adalah evolusi dari Botnet DDoS Kaiji dan mungkin "berbeda dari pembuat ransomware Chaos" yang sebelumnya terlihat di alam liar, kata mereka.
Kaiji, ditemukan pada tahun 2020, awalnya menargetkan server AMD dan i386 berbasis Linux dengan memanfaatkan kekerasan SSH untuk menginfeksi bot baru dan kemudian meluncurkan serangan DDoS. Chaos telah mengembangkan kemampuan asli Kaiji untuk menyertakan modul untuk arsitektur baru โ termasuk Windows โ serta menambahkan modul propagasi baru melalui eksploitasi CVE dan pengambilan kunci SSH, kata para peneliti.
Aktivitas Kekacauan Terbaru
Dalam aktivitas baru-baru ini, Chaos berhasil mengkompromikan server GitLab dan meluncurkan serangkaian serangan DDoS yang menargetkan industri game, layanan dan teknologi keuangan, serta media dan hiburan, bersama dengan penyedia layanan DDoS dan pertukaran mata uang kripto.
Kekacauan sekarang tidak hanya menargetkan perusahaan dan organisasi besar tetapi juga "perangkat dan sistem yang tidak dipantau secara rutin sebagai bagian dari model keamanan perusahaan, seperti router SOHO dan OS FreeBSD," kata para peneliti.
Dan sementara terakhir kali Chaos terlihat di alam liar, ia bertindak lebih sebagai ransomware khas yang memasuki jaringan dengan tujuan mengenkripsi file, pelaku di balik varian terbaru memiliki motif yang sangat berbeda, kata para peneliti.
Fungsi lintas platform dan perangkatnya serta profil tersembunyi dari infrastruktur jaringan di balik aktivitas Chaos terbaru tampaknya menunjukkan bahwa tujuan dari kampanye ini adalah untuk mengembangkan jaringan perangkat yang terinfeksi untuk memanfaatkan akses awal, serangan DDoS, dan cryptomining , menurut para peneliti.
Perbedaan Kunci, dan Satu Persamaan
Sementara sampel Chaos sebelumnya ditulis dalam .NET, malware terbaru ditulis dalam Go, yang dengan cepat menjadi a bahasa pilihan untuk pelaku ancaman karena fleksibilitas lintas platformnya, tingkat deteksi antivirus yang rendah, dan kesulitan untuk merekayasa balik, kata para peneliti.
Dan memang, salah satu alasan mengapa Chaos versi terbaru begitu kuat adalah karena ia beroperasi di berbagai platform, termasuk tidak hanya sistem operasi Windows dan Linux tetapi juga ARM, Intel (i386), MIPS, dan PowerPC, kata mereka.
Itu juga menyebar dengan cara yang jauh berbeda dari versi malware sebelumnya. Sementara para peneliti tidak dapat memastikan vektor akses awalnya, setelah menguasai sebuah sistem, varian Chaos terbaru mengeksploitasi kerentanan yang diketahui dengan cara yang menunjukkan kemampuan untuk berputar dengan cepat, catat para peneliti.
โDi antara sampel yang kami analisis dilaporkan CVE untuk Huawei (CVE-2017-17215) Dan Zyxel (CVE-2022-30525) firewall pribadi, yang keduanya memanfaatkan kerentanan injeksi baris perintah jarak jauh yang tidak diautentikasi,โ mereka mengamati di pos mereka. โNamun, file CVE tampak sepele untuk diperbarui oleh aktor, dan kami menilai kemungkinan besar aktor memanfaatkan CVE lain.โ
Kekacauan memang telah melalui banyak inkarnasi sejak pertama kali muncul pada Juni 2021 dan versi terbaru ini sepertinya bukan yang terakhir, kata para peneliti. Iterasi pertamanya, Chaos Builder 1.0-3.0, dimaksudkan sebagai pembuat untuk versi .NET dari ransomware Ryuk, tetapi para peneliti segera menyadari bahwa itu memiliki sedikit kemiripan dengan Ryuk dan sebenarnya adalah penghapus.
Malware berevolusi di beberapa versi hingga versi empat dari pembuat Chaos yang dirilis pada akhir 2021 dan mendapat dorongan ketika grup ancaman bernama Onyx membuat ransomware sendiri. Versi ini dengan cepat menjadi edisi Kekacauan yang paling umum diamati secara langsung di alam liar, mengenkripsi beberapa file tetapi tetap ditimpa dan menghancurkan sebagian besar file di jalurnya.
Awal tahun ini di bulan Mei, pembuat Chaos memperdagangkan kemampuan penghapusnya untuk enkripsi, muncul dengan nama biner yang dinamai Yashma yang menggabungkan kemampuan ransomware sepenuhnya.
Sementara evolusi Chaos terbaru yang disaksikan oleh Black Lotus Labs jauh berbeda, ia memiliki satu kesamaan yang signifikan dengan pendahulunya โ pertumbuhan cepat yang tidak mungkin melambat dalam waktu dekat, kata para peneliti.
Sertifikat paling awal dari varian Chaos terbaru dihasilkan pada 16 April; ini selanjutnya ketika para peneliti percaya aktor ancaman meluncurkan varian baru di alam liar.
Sejak itu, jumlah sertifikat Chaos yang ditandatangani sendiri telah menunjukkan "pertumbuhan yang nyata", lebih dari dua kali lipat pada Mei menjadi 39 dan kemudian melonjak menjadi 93 pada bulan Agustus, kata para peneliti. Pada 20 September, bulan ini telah melampaui total bulan sebelumnya dengan menghasilkan 94 sertifikat Chaos, kata mereka.
Memitigasi Risiko Secara Keseluruhan
Karena Chaos kini menyerang korban dari kantor pusat terkecil hingga perusahaan terbesar, peneliti membuat rekomendasi khusus untuk setiap jenis target.
Untuk jaringan yang bertahan, mereka menyarankan agar administrator jaringan tetap berada di atas manajemen tambalan untuk kerentanan yang baru ditemukan, karena ini adalah cara utama penyebaran Chaos.
โGunakan IoC yang diuraikan dalam laporan ini untuk memantau infeksi Chaos, serta koneksi ke infrastruktur yang mencurigakan,โ saran para peneliti.
Konsumen dengan router kantor kecil dan rumah kantor harus mengikuti praktik terbaik untuk me-reboot router secara teratur dan menginstal pembaruan dan tambalan keamanan, serta memanfaatkan solusi EDR yang dikonfigurasi dan diperbarui dengan benar di host. Pengguna ini juga harus menambal perangkat lunak secara teratur dengan menerapkan pembaruan vendor jika berlaku.
Pekerja jarak jauh โ permukaan serangan yang telah meningkat secara signifikan selama dua tahun terakhir pandemi โ juga berisiko, dan harus menguranginya dengan mengubah kata sandi default dan menonaktifkan akses root jarak jauh pada mesin yang tidak memerlukannya, saran para peneliti. Pekerja tersebut juga harus menyimpan kunci SSH dengan aman dan hanya pada perangkat yang memerlukannya.
Untuk semua bisnis, Black Lotus Labs merekomendasikan untuk mempertimbangkan penerapan secure access service edge (SASE) yang komprehensif dan perlindungan mitigasi DDoS untuk meningkatkan postur keamanan mereka secara keseluruhan dan memungkinkan deteksi yang kuat pada komunikasi berbasis jaringan.
