Il potente malware Chaos si è evoluto ancora una volta, trasformandosi in una nuova minaccia multipiattaforma basata su Go che non ha alcuna somiglianza con la sua precedente iterazione ransomware. Ora prende di mira le vulnerabilità di sicurezza note per lanciare attacchi DDoS (distributed denial-of-service) ed eseguire cryptomining.
I ricercatori di Black Lotus Labs, il braccio di intelligence sulle minacce di Lumen Technologies, hanno recentemente osservato una versione di Chaos scritta in cinese, che sfrutta l'infrastruttura basata in Cina e mostra un comportamento molto diverso dall'ultima attività vista dall'omonimo costruttore di ransomware, loro hanno detto in un post sul blog pubblicato il 28 settembre.
In effetti, le distinzioni tra le precedenti varianti di Chaos e i 100 cluster di Chaos distinti e recenti che i ricercatori hanno osservato sono così diverse che affermano che rappresenta una nuova minaccia. In effetti, i ricercatori ritengono che l'ultima variante sia in realtà l'evoluzione del Botnet DDoS Kaiji e forse "distinto dal costruttore di ransomware Chaos" precedentemente visto in natura, hanno detto.
Kaiji, scoperto nel 2020, inizialmente prendeva di mira i server AMD e i386 basati su Linux sfruttando la forza bruta SSH per infettare nuovi bot e quindi lanciare attacchi DDoS. Chaos ha evoluto le capacità originali di Kaiji per includere moduli per nuove architetture, incluso Windows, oltre ad aggiungere nuovi moduli di propagazione attraverso lo sfruttamento di CVE e la raccolta di chiavi SSH, hanno affermato i ricercatori.
Attività recente del caos
In una recente attività, Chaos è riuscito a compromettere con successo un server GitLab e ha scatenato una raffica di attacchi DDoS mirati ai settori dei giochi, dei servizi finanziari e della tecnologia, dei media e dell'intrattenimento, insieme ai fornitori di DDoS-as-a-service e a uno scambio di criptovalute.
Il caos ora sta prendendo di mira non solo le aziende e le grandi organizzazioni, ma anche "dispositivi e sistemi che non sono regolarmente monitorati come parte di un modello di sicurezza aziendale, come i router SOHO e il sistema operativo FreeBSD", hanno affermato i ricercatori.
E mentre l'ultima volta che Chaos è stato individuato in natura si comportava più come un tipico ransomware che entrava nelle reti con lo scopo di crittografare i file, gli attori dietro l'ultima variante hanno in mente motivazioni molto diverse, hanno detto i ricercatori.
La sua funzionalità multipiattaforma e dispositivo, nonché il profilo invisibile dell'infrastruttura di rete alla base dell'ultima attività di Chaos, sembrano dimostrare che l'obiettivo della campagna è coltivare una rete di dispositivi infetti da sfruttare per l'accesso iniziale, gli attacchi DDoS e il cryptomining , secondo i ricercatori.
Differenze chiave e una somiglianza
Mentre i precedenti esempi di Chaos sono stati scritti in .NET, il malware più recente è scritto in Go, che sta rapidamente diventando un lingua scelta per gli attori delle minacce a causa della sua flessibilità multipiattaforma, bassi tassi di rilevamento antivirus e difficoltà di reverse engineering, hanno affermato i ricercatori.
E in effetti, uno dei motivi per cui l'ultima versione di Chaos è così potente è perché funziona su più piattaforme, inclusi non solo i sistemi operativi Windows e Linux, ma anche ARM, Intel (i386), MIPS e PowerPC, hanno affermato.
Inoltre, si propaga in un modo molto diverso rispetto alle versioni precedenti del malware. Sebbene i ricercatori non siano stati in grado di accertare il suo vettore di accesso iniziale, una volta che si impossessa di un sistema, le ultime varianti di Chaos sfruttano le vulnerabilità note in un modo che mostra la capacità di ruotare rapidamente, hanno osservato i ricercatori.
“Tra i campioni che abbiamo analizzato sono stati segnalati CVE per Huawei (CVE-2017-17215) e Zyxel (CVE-2022-30525) firewall personali, che sfruttavano entrambi le vulnerabilità di iniezione della riga di comando remota non autenticata ", hanno osservato nel loro post. "Tuttavia, il file CVE sembra banale da aggiornare per l'attore e valutiamo che è molto probabile che l'attore sfrutti altri CVE".
Il caos ha infatti attraversato numerose incarnazioni da quando è emerso per la prima volta nel giugno 2021 e quest'ultima versione non sarà probabilmente l'ultima, hanno affermato i ricercatori. La sua prima iterazione, Chaos Builder 1.0-3.0, pretendeva di essere un builder per una versione .NET del ransomware Ryuk, ma i ricercatori hanno presto notato che aveva poca somiglianza con Ryuk ed era in realtà un tergicristallo.
Il malware si è evoluto in diverse versioni fino alla versione quattro del builder Chaos che è stata rilasciata alla fine del 2021 e ha ottenuto una spinta quando un gruppo di minacce chiamato Onyx ha creato il proprio ransomware. Questa versione è diventata rapidamente l'edizione Chaos più comune osservata direttamente in natura, crittografando alcuni file ma mantenendo la sovrascrittura e distruggendo la maggior parte dei file sul suo percorso.
All'inizio di quest'anno, a maggio, il costruttore del caos ha scambiato le sue capacità di wiper con la crittografia, emergendo con un binario rinominato chiamato Yashma che incorporava funzionalità ransomware a tutti gli effetti.
Sebbene l'evoluzione più recente di Chaos testimoniata dai Black Lotus Labs sia molto diversa, ha una significativa somiglianza con i suoi predecessori: una rapida crescita che è improbabile che rallenti presto, hanno detto i ricercatori.
Il primo certificato dell'ultima variante del Caos è stato generato il 16 aprile; questo è successivamente il momento in cui i ricercatori ritengono che gli attori delle minacce abbiano lanciato la nuova variante in natura.
Da allora, il numero di certificati autofirmati di Chaos ha mostrato una "crescita marcata", più che raddoppiando a maggio a 39 e poi balzando a 93 per il mese di agosto, hanno detto i ricercatori. Al 20 settembre, il mese corrente ha già superato il totale del mese precedente con la generazione di 94 certificati Chaos, hanno affermato.
Mitigare il rischio su tutta la linea
Poiché Chaos sta ora attaccando le vittime dai più piccoli uffici domestici alle più grandi imprese, i ricercatori hanno formulato raccomandazioni specifiche per ogni tipo di obiettivo.
Per coloro che difendono le reti, hanno consigliato agli amministratori di rete di rimanere al passo con la gestione delle patch per le vulnerabilità scoperte di recente, poiché questo è uno dei modi principali in cui il caos si diffonde.
"Utilizzare gli IoC descritti in questo rapporto per monitorare un'infezione del caos, nonché le connessioni a qualsiasi infrastruttura sospetta", hanno raccomandato i ricercatori.
I consumatori con router per piccoli uffici e uffici domestici dovrebbero seguire le migliori pratiche per riavviare regolarmente i router e installare aggiornamenti e patch di sicurezza, oltre a sfruttare soluzioni EDR correttamente configurate e aggiornate sugli host. Questi utenti dovrebbero inoltre aggiornare regolarmente il software applicando gli aggiornamenti dei fornitori, ove applicabile.
Lavoratori remoti — una superficie di attacco che è notevolmente aumentata negli ultimi due anni della pandemia — sono anch'essi a rischio e dovrebbero mitigarlo modificando le password predefinite e disabilitando l'accesso root remoto su macchine che non lo richiedono, hanno raccomandato i ricercatori. Tali lavoratori dovrebbero anche archiviare le chiavi SSH in modo sicuro e solo sui dispositivi che le richiedono.
Per tutte le aziende, Black Lotus Labs consiglia di prendere in considerazione l'applicazione di protezioni SASE (Secure Access Service Edge) e mitigazione DDoS complete per rafforzare le loro posizioni di sicurezza complessive e consentire un rilevamento affidabile sulle comunicazioni basate sulla rete.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
