O poderoso malware Chaos evoluiu mais uma vez, transformando-se em uma nova ameaça multiplataforma baseada em Go que não tem nenhuma semelhança com sua iteração anterior de ransomware. Agora ele tem como alvo vulnerabilidades de segurança conhecidas para lançar ataques distribuídos de negação de serviço (DDoS) e realizar criptografia.
Pesquisadores do Black Lotus Labs, o braço de inteligência de ameaças da Lumen Technologies, observaram recentemente uma versão do Chaos escrita em chinês, aproveitando a infraestrutura baseada na China e exibindo um comportamento muito diferente da última atividade vista pelo criador de ransomware de mesmo nome. eles disseram em um post de blog publicado em 28 de setembro.
Na verdade, as distinções entre as variantes anteriores do Caos e os 100 aglomerados distintos e recentes do Caos que os investigadores observaram são tão diferentes que dizem que representa uma ameaça totalmente nova. Na verdade, os pesquisadores acreditam que a variante mais recente é na verdade a evolução do Botnet DDoS Kaiji e talvez “distinto do construtor de ransomware Chaos” visto anteriormente na natureza, disseram eles.
Kaiji, descoberto em 2020, originalmente tinha como alvo servidores AMD e i386 baseados em Linux, aproveitando a força bruta SSH para infectar novos bots e, em seguida, lançar ataques DDoS. O Chaos desenvolveu os recursos originais do Kaiji para incluir módulos para novas arquiteturas – incluindo Windows – bem como adicionar novos módulos de propagação por meio da exploração de CVE e coleta de chaves SSH, disseram os pesquisadores.
Atividade Caótica Recente
Em atividades recentes, o Chaos comprometeu com sucesso um servidor GitLab e desencadeou uma enxurrada de ataques DDoS direcionados aos setores de jogos, serviços financeiros e tecnologia e mídia e entretenimento, juntamente com provedores de DDoS como serviço e uma exchange de criptomoedas.
O Chaos agora tem como alvo não apenas empresas e grandes organizações, mas também “dispositivos e sistemas que não são monitorados rotineiramente como parte de um modelo de segurança empresarial, como roteadores SOHO e sistema operacional FreeBSD”, disseram os pesquisadores.
E embora a última vez que o Chaos foi avistado em estado selvagem ele agia mais como um ransomware típico que entrava nas redes com o objetivo de criptografar arquivos, os atores por trás da variante mais recente têm motivos muito diferentes em mente, disseram os pesquisadores.
Sua funcionalidade multiplataforma e de dispositivo, bem como o perfil furtivo da infraestrutura de rede por trás da última atividade do Chaos, parecem demonstrar que o objetivo da campanha é cultivar uma rede de dispositivos infectados para aproveitar o acesso inicial, ataques DDoS e criptografia. , segundo os pesquisadores.
Principais diferenças e uma semelhança
Enquanto amostras anteriores do Chaos foram escritas em .NET, o malware mais recente foi escrito em Go, que está rapidamente se tornando um idioma de escolha para os agentes de ameaças devido à sua flexibilidade entre plataformas, baixas taxas de detecção de antivírus e dificuldade de engenharia reversa, disseram os pesquisadores.
E, de fato, uma das razões pelas quais a versão mais recente do Chaos é tão poderosa é porque ela opera em múltiplas plataformas, incluindo não apenas os sistemas operacionais Windows e Linux, mas também ARM, Intel (i386), MIPS e PowerPC, disseram.
Ele também se propaga de uma maneira muito diferente das versões anteriores do malware. Embora os pesquisadores não tenham conseguido determinar seu vetor de acesso inicial, uma vez que ele toma conta de um sistema, as variantes mais recentes do Chaos exploram vulnerabilidades conhecidas de uma forma que mostra a capacidade de girar rapidamente, observaram os pesquisadores.
“Entre as amostras que analisamos foram relatadas CVEs para Huawei (CVE-2017-17215) e Zyxel (CVE-2022-30525) firewalls pessoais, ambos aproveitando vulnerabilidades de injeção de linha de comando remota não autenticada”, observaram eles em sua postagem. “No entanto, o arquivo CVE parece trivial para o ator atualizar, e avaliamos que é altamente provável que o ator aproveite outros CVEs.”
De fato, o caos passou por inúmeras encarnações desde que surgiu pela primeira vez em junho de 2021 e esta versão mais recente provavelmente não será a última, disseram os pesquisadores. Sua primeira iteração, Chaos Builder 1.0-3.0, pretendia ser um construtor para uma versão .NET do ransomware Ryuk, mas os pesquisadores logo perceberam que ele tinha pouca semelhança com Ryuk e era na verdade um limpador.
O malware evoluiu em várias versões até a versão quatro do construtor Chaos, lançada no final de 2021 e ganhou impulso quando um grupo de ameaças chamado Onyx criou seu próprio ransomware. Esta versão rapidamente se tornou a edição Chaos mais comum observada diretamente na natureza, criptografando alguns arquivos, mas mantendo-os sobrescritos e destruindo a maioria dos arquivos em seu caminho.
No início deste ano, em maio, o construtor Chaos trocou seus recursos de limpeza por criptografia, surgindo com um binário renomeado chamado Yashma, que incorporou recursos de ransomware completos.
Embora a evolução mais recente do Caos testemunhada pelo Black Lotus Labs seja muito diferente, tem uma semelhança significativa com os seus antecessores – um crescimento rápido que provavelmente não irá abrandar tão cedo, disseram os investigadores.
O certificado mais antigo da última variante do Chaos foi gerado em 16 de abril; posteriormente, os pesquisadores acreditam que os atores da ameaça lançaram a nova variante na natureza.
Desde então, o número de certificados autoassinados do Chaos mostrou “crescimento acentuado”, mais do que duplicando em maio para 39 e depois saltando para 93 no mês de agosto, disseram os pesquisadores. Até 20 de setembro, o mês atual já superou o total do mês anterior com a geração de 94 certificados Chaos, disseram.
Mitigando riscos em todos os níveis
Como o Chaos está agora a atacar vítimas desde os mais pequenos escritórios domésticos até às maiores empresas, os investigadores fizeram recomendações específicas para cada tipo de alvo.
Para aqueles que defendem redes, eles aconselharam que os administradores de rede fiquem atentos ao gerenciamento de patches para vulnerabilidades recém-descobertas, pois esta é a principal forma de propagação do Caos.
“Use os IoCs descritos neste relatório para monitorar uma infecção pelo Chaos, bem como conexões com qualquer infraestrutura suspeita”, recomendaram os pesquisadores.
Os consumidores com roteadores para pequenos escritórios e escritórios domésticos devem seguir as práticas recomendadas de reinicialização regular dos roteadores e instalação de atualizações e patches de segurança, bem como aproveitar soluções EDR devidamente configuradas e atualizadas nos hosts. Esses usuários também devem corrigir regularmente o software aplicando atualizações dos fornecedores, quando aplicável.
Trabalhadores remotos – uma superfície de ataque que aumentou significativamente nos últimos dois anos da pandemia – também estão em risco e devem mitigá-lo alterando as senhas padrão e desativando o acesso root remoto em máquinas que não o exigem, recomendaram os pesquisadores. Esses trabalhadores também devem armazenar chaves SSH de forma segura e somente em dispositivos que as exijam.
Para todas as empresas, o Black Lotus Labs recomenda considerar a aplicação de proteção abrangente de borda de serviço de acesso seguro (SASE) e mitigação de DDoS para reforçar suas posturas gerais de segurança e permitir detecção robusta em comunicações baseadas em rede.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
