De krachtige Chaos-malware heeft zich opnieuw ontwikkeld en is veranderd in een nieuwe, op Go gebaseerde, multiplatform-dreiging die geen enkele gelijkenis vertoont met de vorige ransomware-versie. Het richt zich nu op bekende beveiligingskwetsbaarheden om gedistribueerde denial-of-service (DDoS)-aanvallen uit te voeren en cryptomining uit te voeren.
Onderzoekers van Black Lotus Labs, de dreigingsinformatieafdeling van Lumen Technologies, hebben onlangs een versie van Chaos waargenomen die in het Chinees is geschreven, waarbij gebruik wordt gemaakt van de op China gebaseerde infrastructuur en gedrag vertoont dat heel anders is dan de laatste activiteit die werd gezien door de gelijknamige ransomware-bouwer: ze zeiden in een blog post gepubliceerd op 28 september.
Het onderscheid tussen eerdere varianten van Chaos en de honderd verschillende en recente chaosclusters die onderzoekers hebben waargenomen, is zelfs zo verschillend dat ze zeggen dat het een geheel nieuwe dreiging vormt. Onderzoekers geloven zelfs dat de nieuwste variant eigenlijk de evolutie is van de DDoS-botnet Kaiji en misschien “anders dan de Chaos-ransomwarebouwer” die eerder in het wild werd gezien, zeiden ze.
Kaiji, ontdekt in 2020, richtte zich oorspronkelijk op Linux-gebaseerde AMD- en i386-servers door gebruik te maken van SSH brute-forcering om nieuwe bots te infecteren en vervolgens DDoS-aanvallen te lanceren. Chaos heeft de oorspronkelijke mogelijkheden van Kaiji geëvolueerd om modules voor nieuwe architecturen – waaronder Windows – op te nemen en nieuwe propagatiemodules toe te voegen via CVE-exploitatie en SSH-sleuteloogst, aldus de onderzoekers.
Recente chaosactiviteit
Bij recente activiteiten heeft Chaos met succes een GitLab-server gecompromitteerd en een reeks DDoS-aanvallen ontketend die zich richtten op de gaming-, financiële diensten- en technologie- en media- en entertainmentindustrie, samen met DDoS-as-a-service-providers en een cryptocurrency-uitwisseling.
Chaos richt zich nu niet alleen op ondernemingen en grote organisaties, maar ook op “apparaten en systemen die niet routinematig worden gemonitord als onderdeel van een bedrijfsbeveiligingsmodel, zoals SOHO-routers en FreeBSD OS”, aldus de onderzoekers.
En hoewel Chaos de laatste keer in het wild werd gezien, gedroeg het zich meer als typische ransomware die netwerken binnendrong met als doel bestanden te versleutelen, hebben de actoren achter de nieuwste variant heel verschillende motieven in gedachten, aldus de onderzoekers.
De cross-platform- en apparaatfunctionaliteit en het stealth-profiel van de netwerkinfrastructuur achter de nieuwste Chaos-activiteit lijken aan te tonen dat het doel van de campagne is om een netwerk van geïnfecteerde apparaten te cultiveren die kunnen worden gebruikt voor initiële toegang, DDoS-aanvallen en cryptomining. , aldus de onderzoekers.
Belangrijkste verschillen en één overeenkomst
Terwijl eerdere voorbeelden van Chaos in .NET werden geschreven, is de nieuwste malware geschreven in Go, dat snel een .NET-programma aan het worden is taal naar keuze voor bedreigingsactoren vanwege de platformonafhankelijke flexibiliteit, de lage detectiepercentages van antivirusprogramma's en de moeilijkheid om reverse-engineering uit te voeren, aldus de onderzoekers.
En inderdaad, een van de redenen dat de nieuwste versie van Chaos zo krachtig is, is omdat deze op meerdere platforms werkt, waaronder niet alleen Windows- en Linux-besturingssystemen, maar ook ARM, Intel (i386), MIPS en PowerPC, zeiden ze.
Het verspreidt zich ook op een heel andere manier dan eerdere versies van de malware. Hoewel onderzoekers niet in staat waren de initiële toegangsvector vast te stellen, exploiteren de nieuwste Chaos-varianten, zodra deze een systeem in handen krijgen, bekende kwetsbaarheden op een manier die het vermogen laat zien om snel te draaien, merkten de onderzoekers op.
“Onder de monsters die we hebben geanalyseerd, werden gerapporteerd CVE's voor Huawei (CVE-2017-17215) en Zyxel (CVE-2022-30525) persoonlijke firewalls, die beide gebruik maakten van niet-geauthenticeerde kwetsbaarheden op de opdrachtregel”, merkten ze op in hun bericht. “Het CVE-bestand lijkt echter triviaal voor de actor om te updaten, en we schatten in dat het zeer waarschijnlijk is dat de actor andere CVE’s gebruikt.”
Chaos heeft inderdaad talloze incarnaties doorgemaakt sinds het voor het eerst opdook in juni 2021 en deze nieuwste versie zal waarschijnlijk niet de laatste zijn, aldus de onderzoekers. De eerste versie, Chaos Builder 1.0-3.0, beweerde een bouwer te zijn voor een .NET-versie van de Ryuk-ransomware, maar de onderzoekers merkten al snel dat het weinig gelijkenis vertoonde met Ryuk en eigenlijk een wisser was.
De malware evolueerde in verschillende versies tot versie vier van de Chaos-builder die eind 2021 werd uitgebracht en kreeg een boost toen een bedreigingsgroep genaamd Onyx zijn eigen ransomware creëerde. Deze versie werd al snel de meest voorkomende Chaos-editie die rechtstreeks in het wild werd waargenomen, waarbij sommige bestanden werden gecodeerd, maar de meeste bestanden op zijn pad werden overschreven en vernietigd.
Eerder dit jaar in mei kwam de Chaos-bouwer ruilde zijn ruitenwissermogelijkheden in voor encryptie, met een nieuwe naam, genaamd Yashma, die volwaardige ransomware-mogelijkheden bevatte.
Hoewel de meest recente evolutie van Chaos waar Black Lotus Labs getuige van is, heel anders is, heeft deze wel één belangrijke overeenkomst met zijn voorgangers: een snelle groei die waarschijnlijk niet snel zal vertragen, aldus de onderzoekers.
Het eerste certificaat van de nieuwste Chaos-variant werd op 16 april gegenereerd; dit is vervolgens het moment waarop onderzoekers geloven dat bedreigingsactoren de nieuwe variant in het wild hebben gelanceerd.
Sindsdien heeft het aantal zelfondertekende Chaos-certificaten een “aanzienlijke groei” laten zien, meer dan verdubbeld in mei tot 39 en vervolgens gestegen naar 93 voor de maand augustus, aldus de onderzoekers. Vanaf 20 september heeft de huidige maand het totaal van de vorige maand al overtroffen met de generatie van 94 Chaos-certificaten, zeiden ze.
Risico's over de hele linie beperken
Omdat Chaos nu slachtoffers treft, van de kleinste thuiskantoren tot de grootste ondernemingen, hebben onderzoekers voor elk type doelwit specifieke aanbevelingen gedaan.
Voor degenen die netwerken verdedigen, adviseerden ze dat netwerkbeheerders op de hoogte blijven van patchbeheer voor nieuw ontdekte kwetsbaarheden, aangezien dit een belangrijke manier is waarop Chaos zich verspreidt.
“Gebruik de IoC’s die in dit rapport worden beschreven om te controleren op een Chaos-infectie, evenals op verbindingen met verdachte infrastructuur”, adviseerden de onderzoekers.
Consumenten met routers voor kleine kantoren en thuiskantoren moeten de beste praktijken volgen door routers regelmatig opnieuw op te starten en beveiligingsupdates en patches te installeren, en goed geconfigureerde en bijgewerkte EDR-oplossingen op hosts te gebruiken. Deze gebruikers moeten ook regelmatig software patchen door, indien van toepassing, updates van leveranciers toe te passen.
Externe werknemers – een aanvalsoppervlak dat de afgelopen twee jaar van de pandemie aanzienlijk is toegenomen – lopen ook risico, en zouden dit moeten beperken door standaardwachtwoorden te wijzigen en root-toegang op afstand uit te schakelen op machines die dit niet nodig hebben, adviseerden de onderzoekers. Dergelijke werknemers moeten SSH-sleutels ook veilig opslaan en alleen op apparaten die deze nodig hebben.
Voor alle bedrijven raadt Black Lotus Labs aan om de toepassing van uitgebreide Secure Access Service Edge (SASE) en DDoS-beperkingsbeschermingen te overwegen om hun algehele beveiligingspositie te versterken en robuuste detectie van netwerkgebaseerde communicatie mogelijk te maken.
