Puternicul malware Chaos a evoluat din nou, transformându-se într-o nouă amenințare multiplatformă bazată pe Go, care nu se aseamănă cu iterația sa anterioară de ransomware. Acum vizează vulnerabilitățile de securitate cunoscute pentru a lansa atacuri distribuite de refuzare a serviciului (DDoS) și pentru a efectua criptominări.
Cercetătorii de la Black Lotus Labs, filiala de informații despre amenințări a Lumen Technologies, au observat recent o versiune a Chaos scrisă în limba chineză, care folosește infrastructura din China și prezintă un comportament mult diferit de ultima activitate văzută de constructorul de ransomware cu același nume. au zis într-un post pe blog publicat pe 28 sept.
Într-adevăr, diferențele dintre variantele anterioare ale Haosului și cele 100 de grupuri distincte și recente de Haos pe care cercetătorii le-au observat sunt atât de diferite încât ei spun că reprezintă o amenințare nou-nouță. De fapt, cercetătorii cred că cea mai recentă variantă este de fapt evoluția DDoS botnet Kaiji și poate „distinct de constructorul de ransomware Chaos” văzut anterior în sălbăticie, au spus ei.
Kaiji, descoperit în 2020, a vizat inițial serverele AMD și i386 bazate pe Linux, utilizând forțarea brută SSH pentru a infecta noi roboți și apoi a lansa atacuri DDoS. Chaos a evoluat capabilitățile originale ale lui Kaiji pentru a include module pentru noi arhitecturi – inclusiv Windows – precum și pentru a adăuga noi module de propagare prin exploatarea CVE și recoltarea cheilor SSH, au spus cercetătorii.
Activitate recentă din haos
În activitatea recentă, Chaos a compromis cu succes un server GitLab și a declanșat o serie de atacuri DDoS care vizează industriile de jocuri, servicii financiare și tehnologie, precum și industriile media și divertisment, împreună cu furnizorii de servicii DDoS-as-a-service și un schimb de criptomonede.
Chaos vizează acum nu numai întreprinderile și organizațiile mari, ci și „dispozitivele și sistemele care nu sunt monitorizate în mod obișnuit ca parte a unui model de securitate al întreprinderii, cum ar fi routerele SOHO și sistemul de operare FreeBSD”, au spus cercetătorii.
Și, deși ultima dată când Chaos a fost văzut în sălbăticie, acesta a acționat mai mult ca un ransomware tipic care a intrat în rețele cu scopul de a cripta fișierele, actorii din spatele celei mai recente variante au motive foarte diferite în minte, au spus cercetătorii.
Funcționalitatea multiplatformă și a dispozitivelor, precum și profilul ascuns al infrastructurii de rețea din spatele ultimei activități Chaos par să demonstreze că scopul campaniei este de a cultiva o rețea de dispozitive infectate care să le folosească pentru accesul inițial, atacurile DDoS și criptominerea. , potrivit cercetătorilor.
Diferențele cheie și o asemănare
În timp ce mostrele anterioare de Chaos au fost scrise în .NET, cel mai recent malware este scris în Go, care devine rapid un limba la alegere pentru actorii amenințărilor datorită flexibilității sale multiplatforme, ratelor scăzute de detectare a antivirusului și dificultății de a face inginerie inversă, au spus cercetătorii.
Și într-adevăr, unul dintre motivele pentru care cea mai recentă versiune de Chaos este atât de puternică este că funcționează pe mai multe platforme, inclusiv nu numai sisteme de operare Windows și Linux, ci și ARM, Intel (i386), MIPS și PowerPC, au spus ei.
De asemenea, se propagă într-un mod mult diferit față de versiunile anterioare ale malware-ului. Deși cercetătorii nu au reușit să stabilească vectorul său de acces inițial, odată ce acesta preia un sistem, cele mai recente variante Chaos exploatează vulnerabilitățile cunoscute într-un mod care arată capacitatea de a pivota rapid, au observat cercetătorii.
„Printre mostrele pe care le-am analizat au fost raportate CVE-uri pentru Huawei (CVE-2017-17215) Şi Zyxel (CVE-2022-30525) firewall-uri personale, ambele care au folosit vulnerabilități neautentificate de injectare în linia de comandă de la distanță”, au observat ei în postarea lor. „Cu toate acestea, fișierul CVE pare banal de actualizat de către actor și evaluăm că este foarte probabil ca actorul să folosească alte CVE.”
Haosul a trecut într-adevăr prin numeroase încarnări de când a apărut pentru prima dată în iunie 2021 și este probabil că această ultimă versiune nu va fi ultima, au spus cercetătorii. Prima sa iterație, Chaos Builder 1.0-3.0, se pretindea a fi un constructor pentru o versiune .NET a ransomware-ului Ryuk, dar cercetătorii au observat curând că semăna puțin cu Ryuk și era de fapt un ștergător.
Malware-ul a evoluat în mai multe versiuni până la versiunea a patra a constructorului Chaos, care a fost lansat la sfârșitul anului 2021 și a primit un impuls când un grup de amenințări numit Onyx și-a creat propriul ransomware. Această versiune a devenit rapid cea mai comună ediție Chaos observată direct în sălbăticie, criptând unele fișiere, dar menținând suprascrise și distrugând majoritatea fișierelor din calea sa.
La începutul acestui an, în mai, constructorul Haosului și-a schimbat capacitățile de ștergere pentru criptare, apărând cu un binar rebrandat numit Yashma, care a încorporat capabilități complete de ransomware.
Deși cea mai recentă evoluție a Chaosului la care a fost martor Black Lotus Labs este mult diferită, aceasta are o asemănare semnificativă cu predecesorii săi - o creștere rapidă care este puțin probabil să încetinească în curând, au spus cercetătorii.
Cel mai vechi certificat al celei mai recente variante Chaos a fost generat pe 16 aprilie; Acesta este ulterior momentul în care cercetătorii cred că actorii amenințărilor au lansat noua variantă în sălbăticie.
De atunci, numărul de certificate autosemnate Chaos a arătat o „creștere marcată”, dublandu-se mai mult la 39 și apoi crescând la 93 pentru luna august, au spus cercetătorii. Din 20 septembrie, luna curentă a depășit deja totalul lunii precedente cu generarea a 94 de certificate Chaos, au spus aceștia.
Reducerea riscurilor la nivel general
Deoarece Chaosul atacă acum victimele de la cele mai mici birouri de acasă până la cele mai mari întreprinderi, cercetătorii au făcut recomandări specifice pentru fiecare tip de țintă.
Pentru cei care apără rețelele, ei au sfătuit ca administratorii de rețea să rămână la curent cu gestionarea patch-urilor pentru vulnerabilitățile nou descoperite, deoarece acesta este principalul mod de răspândire a haosului.
„Utilizați IoC-urile prezentate în acest raport pentru a monitoriza o infecție cu Chaos, precum și conexiunile la orice infrastructură suspectă”, au recomandat cercetătorii.
Consumatorii cu routere mici de birou și birouri de acasă ar trebui să urmeze cele mai bune practici de repornire regulată a routerelor și de instalare a actualizărilor de securitate și a corecțiilor, precum și să folosească soluțiile EDR configurate și actualizate corespunzător pe gazde. Acești utilizatori ar trebui, de asemenea, să corecteze în mod regulat software-ul, aplicând actualizări ale furnizorilor, acolo unde este cazul.
Muncitori la distanță – o suprafață de atac care a crescut semnificativ în ultimii doi ani de pandemie – sunt, de asemenea, în pericol și ar trebui să-l atenueze prin schimbarea parolelor implicite și dezactivând accesul la distanță root pe mașinile care nu o necesită, au recomandat cercetătorii. Astfel de lucrători ar trebui, de asemenea, să stocheze cheile SSH în siguranță și numai pe dispozitivele care le necesită.
Pentru toate companiile, Black Lotus Labs recomandă luarea în considerare a aplicării unor protecții cuprinzătoare ale serviciului de acces securizat (SASE) și atenuării DDoS pentru a le consolida pozițiile generale de securitate și pentru a permite detectarea robustă a comunicațiilor bazate pe rețea.
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
