Potężne złośliwe oprogramowanie Chaos ponownie ewoluowało, przekształcając się w nowe, wieloplatformowe zagrożenie oparte na Go, które w niczym nie przypomina poprzedniej wersji oprogramowania ransomware. Obecnie wykorzystuje znane luki w zabezpieczeniach, aby przeprowadzać rozproszone ataki typu „odmowa usługi” (DDoS) i wydobywać kryptowalutę.
Badacze z Black Lotus Labs, oddziału Lumen Technologies zajmującego się badaniem zagrożeń, zaobserwowali niedawno wersję Chaos napisaną w języku chińskim, wykorzystującą chińską infrastrukturę i wykazującą zachowanie znacznie różniące się od ostatniej aktywności zaobserwowanej przez twórcę oprogramowania ransomware o tej samej nazwie. oni powiedzieli w blogu opublikowano 28 września.
Rzeczywiście, różnice między wcześniejszymi wariantami Chaosu a 100 odrębnymi i najnowszymi gromadami Chaosu, które zaobserwowali badacze, są tak różne, że ich zdaniem stwarza to zupełnie nowe zagrożenie. W rzeczywistości naukowcy uważają, że najnowszy wariant jest w rzeczywistości ewolucją Botnet DDoS Kaiji i być może „różni się od narzędzia do tworzenia oprogramowania ransomware Chaos”, które wcześniej widziano na wolności, stwierdzili.
Kaiji, odkryty w 2020 r., pierwotnie atakował serwery AMD i i386 oparte na systemie Linux, wykorzystując brutalne wymuszanie protokołu SSH w celu infekowania nowych botów, a następnie przeprowadzania ataków DDoS. Badacze twierdzą, że Chaos rozwinął pierwotne możliwości Kaiji, włączając moduły dla nowych architektur — w tym Windows — a także dodając nowe moduły propagacyjne poprzez wykorzystanie CVE i przechwytywanie kluczy SSH.
Niedawna aktywność chaosu
W ramach niedawnej działalności Chaos pomyślnie włamał się na serwer GitLab i wywołał lawinę ataków DDoS wymierzonych w branżę gier, usług i technologii finansowych, mediów i rozrywki, a także dostawców usług DDoS jako usługi i giełdę kryptowalut.
Chaos atakuje obecnie nie tylko przedsiębiorstwa i duże organizacje, ale także „urządzenia i systemy, które nie są rutynowo monitorowane w ramach korporacyjnego modelu bezpieczeństwa, takie jak routery SOHO i system operacyjny FreeBSD” – twierdzą badacze.
I chociaż ostatnim razem Chaos został zauważony na wolności, zachowywał się bardziej jak typowe oprogramowanie ransomware, które przedostawało się do sieci w celu szyfrowania plików, autorzy najnowszego wariantu mają zupełnie inne motywy – twierdzą badacze.
Jej funkcjonalność na wielu platformach i urządzeniach, a także ukryty profil infrastruktury sieciowej stojącej za najnowszą aktywnością Chaos wydaje się wskazywać, że celem kampanii jest kultywowanie sieci zainfekowanych urządzeń w celu wykorzystania ich do pierwszego dostępu, ataków DDoS i wydobywania kryptowalut Zdaniem badaczy.
Kluczowe różnice i jedno podobieństwo
Podczas gdy poprzednie próbki Chaosu były pisane w .NET, najnowsze złośliwe oprogramowanie jest napisane w Go, który szybko staje się wybrany język dla podmiotów zagrażających ze względu na elastyczność międzyplatformową, niski współczynnik wykrywania programów antywirusowych i trudność w inżynierii wstecznej – stwierdzili naukowcy.
I rzeczywiście, jednym z powodów, dla których najnowsza wersja Chaos jest tak potężna, jest to, że działa na wielu platformach, w tym nie tylko na systemach operacyjnych Windows i Linux, ale także na procesorach ARM, Intel (i386), MIPS i PowerPC – powiedzieli.
Rozprzestrzenia się także w zupełnie inny sposób niż poprzednie wersje szkodliwego oprogramowania. Choć badacze nie byli w stanie ustalić jego początkowego wektora dostępu, po przejęciu systemu najnowsze warianty Chaosu wykorzystują znane luki w sposób umożliwiający szybkie przekształcenie się w system – zauważyli naukowcy.
„Wśród analizowanych próbek zgłoszono CVE dla Huawei (CVE-2017-17215) i Zyxel (CVE-2022-30525) osobiste zapory ogniowe, z których obie wykorzystywały luki w zabezpieczeniach polegające na nieuwierzytelnionym wstrzykiwaniu z wiersza poleceń” – zauważyli w swoim poście. „Jednak aktualizacja pliku CVE wydaje się prosta dla aktora i oceniamy, że jest wysoce prawdopodobne, że aktor korzysta z innych CVE”.
Badacze twierdzą, że chaos rzeczywiście przeszedł wiele wcieleń, odkąd pojawił się po raz pierwszy w czerwcu 2021 r., a najnowsza wersja prawdopodobnie nie będzie ostatnią. Jego pierwsza wersja, Chaos Builder 1.0-3.0, miała rzekomo być narzędziem do tworzenia wersji .NET ransomware Ryuk, ale badacze szybko zauważyli, że był on niewiele podobny do Ryuka i w rzeczywistości był wycieraczką.
Szkodnik ewoluował w kilku wersjach, aż do czwartej wersji narzędzia Chaos Builder, która została wydana pod koniec 2021 r. i zyskała na popularności, gdy grupa zagrożeń o nazwie Onyx stworzyła własne oprogramowanie ransomware. Wersja ta szybko stała się najpopularniejszą edycją Chaosu obserwowaną bezpośrednio na wolności, szyfrując niektóre pliki, ale nadpisując ją i niszcząc większość plików na swojej ścieżce.
Na początku tego roku, w maju, budowniczy Chaosu zamienił swoje możliwości wycieraczek na szyfrowanie, pojawił się plik binarny o zmienionej nazwie, nazwany Yashma, który zawierał w pełni rozwinięte możliwości oprogramowania ransomware.
Chociaż najnowsza ewolucja Chaosu, której świadkiem była Black Lotus Labs, jest zupełnie inna, ma jedno istotne podobieństwo do swoich poprzedników – szybki wzrost, który raczej nie ulegnie spowolnieniu w najbliższym czasie – twierdzą naukowcy.
Najwcześniejszy certyfikat najnowszego wariantu Chaosu został wygenerowany 16 kwietnia; badacze uważają, że ugrupowania zagrażające wypuściły nowy wariant w środowisku naturalnym.
Od tego czasu liczba samopodpisanych certyfikatów Chaos wykazała „wyraźny wzrost”, twierdząc, że wzrosła ponad dwukrotnie w maju do 39, a następnie skoczyła do 93 w sierpniu – stwierdzili naukowcy. Według stanu na 20 września bieżący miesiąc przekroczył już sumę z poprzedniego miesiąca, wygenerowując 94 certyfikaty Chaosu – twierdzą.
Ograniczanie ryzyka we wszystkich obszarach
Ponieważ Chaos atakuje obecnie ofiary od najmniejszych biur domowych po największe przedsiębiorstwa, badacze przedstawili szczegółowe zalecenia dla każdego rodzaju celów.
Tym, którzy bronią sieci, doradzili, aby administratorzy sieci kontrolowali zarządzanie poprawkami w przypadku nowo odkrytych luk w zabezpieczeniach, ponieważ jest to główny sposób rozprzestrzeniania się Chaosu.
„Korzystaj z IoC opisanych w tym raporcie, aby monitorować infekcję Chaos, a także połączenia z jakąkolwiek podejrzaną infrastrukturą” – zalecili naukowcy.
Konsumenci posiadający routery w małych biurach i biurach domowych powinni przestrzegać najlepszych praktyk w zakresie regularnego ponownego uruchamiania routerów oraz instalowania aktualizacji i poprawek zabezpieczeń, a także korzystania z odpowiednio skonfigurowanych i zaktualizowanych rozwiązań EDR na hostach. Użytkownicy ci powinni również regularnie łatać oprogramowanie, stosując aktualizacje dostawców, jeśli ma to zastosowanie.
Pracownicy zdalni – powierzchnia ataku, która znacznie wzrosła w ciągu ostatnich dwóch lat pandemii – również jest zagrożona i powinna ją złagodzić poprzez zmianę domyślnych haseł i wyłączenie zdalnego dostępu do roota na komputerach, które tego nie wymagają – zalecają badacze. Tacy pracownicy powinni również bezpiecznie przechowywać klucze SSH i tylko na urządzeniach, które ich wymagają.
Wszystkim firmom Black Lotus Labs zaleca rozważenie zastosowania kompleksowych zabezpieczeń brzegowych usług bezpiecznego dostępu (SASE) i łagodzenia skutków DDoS, aby wzmocnić ogólny poziom bezpieczeństwa i umożliwić niezawodne wykrywanie komunikacji sieciowej.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
