El 'ransomware' Chaos: una amenaza que evoluciona rápidamente
El creador del ransomware Chaos, ahora rebautizado como Yashma, está mejorando rápidamente y siendo adoptado por grupos de ciberdelincuentes.
El generador de ransomware Chaos comenzó el año pasado como una suplantación defectuosa y poco convincente del notorio kit de ransomware Ryuk. Desde entonces ha experimentado un desarrollo activo y rápidas mejoras que han convencido a diferentes grupos de atacantes para adoptarlo. La última versión, apodada Yashma, se observó por primera vez en la naturaleza a mediados de mayo y contiene varias mejoras.
Una exitosa operación de ransomware conocida como Onyx afectó a servicios de emergencia, instalaciones médicas y organizaciones de otros sectores en Estados Unidos durante el año pasado. Utiliza una variación del ransomware Chaos, según los investigadores de seguridad.
"Lo que hace que Chaos/Yashma sea peligroso en el futuro es su flexibilidad y su amplia disponibilidad", afirman los investigadores de BlackBerry en un nuevo informe. "Como el malware se vende y se distribuye inicialmente como un constructor de malware, cualquier actor de la amenaza que lo compre puede replicar las acciones del grupo de la amenaza detrás de Onyx, desarrollando sus propias cepas de ransomware y dirigiéndose a las víctimas elegidas".
Los orígenes humildes y el marketing agresivo del ransomware Chaos
El constructor del ransomware Chaos apareció alrededor de junio de 2021 bajo el nombre de Ryuk .NET Ransomware Builder v1.0. Un constructor es un programa de código cerrado que los autores de malware proporcionan a sus clientes y que les permite personalizarlo y generar un binario malicioso con esas propiedades que pueden utilizar. Esto permite a diferentes grupos de ciberdelincuentes que adquirieron el mismo programa malicioso utilizar diferentes servidores de comando y control, por ejemplo, o personalizar su malware para cada víctima.
A pesar del nombre, el Ryuk .NET Ransomware Builder no tiene nada que ver con el programa de ransomware Ryuk, que infectó a cientos de organizaciones en todo el mundo desde 2018. Ryuk es la creación de un grupo rastreado en la industria de la seguridad como Wizard Spider, que se cree que es responsable de la creación del sucesor de Ryuk, llamado Conti, así como de la red de bots TrickBot.
Según los investigadores de BlackBerry, cuando el Ryuk .NET Ransomware Builder se promocionó por primera vez en foros clandestinos, la recepción de los ciberdelincuentes fue negativa. Muchos no apreciaron la falsa publicidad que utilizaba el nombre de Ryuk, especialmente porque el ransomware creado por el constructor carecía de muchas características y actuaba como un limpiador de archivos.
El malware se dirigía a más de 100 extensiones de archivo, pero estaba diseñado para sobrescribir los archivos con una cadena Base64 aleatoria. A diferencia del cifrado, este proceso no es reversible, por lo que destruía los archivos de forma permanente.
El autor del ransomware reaccionó a los comentarios negativos y a partir de la versión 2 renombró su constructor y ransomware como Chaos. Sin embargo, sólo a partir de la versión 3 el malware adquirió la capacidad de cifrar archivos con los algoritmos AES y RSA, pero sólo los archivos de menos de 1MB. Esta capacidad se amplió a los archivos de menos de 2 MB en Chaos Builder v4.0, que se publicó en agosto junto con otras mejoras y características, como la posibilidad de cambiar el fondo de escritorio de la víctima para que muestre la nota de rescate, listas de extensiones de archivos personalizables, interfaz gráfica de usuario para los usuarios del constructor, prevención de la recuperación mediante la eliminación de las instantáneas del sistema de archivos de Windows y los catálogos de copias de seguridad, así como la desactivación del modo de recuperación de Windows.
El grupo cibercriminal Onyx entra en escena
La versión 4.0 de Chaos builder también fue significativa porque en abril de 2022 fue adoptada por un grupo cibercriminal que se autodenomina Onyx, que también implementó la estrategia de extorsión de doble fuga de datos, que es común con la mayoría de las bandas de ransomware en estos días.
"A diferencia de la nota de rescate predeterminada de Chaos, que proporcionaba pocas instrucciones u orientación a las víctimas afectadas, el grupo detrás de Onyx implementó un sitio de filtración llamado 'Onyx News', alojado a través de una página Onion en la red anónima Tor", dijeron los investigadores de BlackBerry. "Onyx lo utilizó para dar a las víctimas más información sobre cómo recuperar sus datos. La nota de rescate de Onyx daba la dirección, las credenciales de acceso y la contraseña que permitían a la víctima iniciar una sesión y entablar una discusión con los actores de la amenaza que estaban detrás del ataque de ransomware."
Sin embargo, las víctimas del ransomware y los investigadores de seguridad no tardaron en descubrir que el ransomware Onyx destruía los archivos de más de 2 MB y eso se debía a la limitación de cifrado del ransomware Chaos, con el que compartía el 98% de su código.
Los investigadores de BlackBerry también se encontraron con una conversación entre la banda de Onyx y una de las víctimas en el sitio de negociación, en la que alguien que decía ser el creador del constructor de Chaos intentaba promocionar la última versión de su ransomware y aclarar que ya no tenía esta limitación de archivos de 2MB. El supuesto creador de Chaos también aprovechó para confirmar que Onyx está basado en una versión más antigua de su programa.
Durante su corta vida, la banda Onyx ha atacado a organizaciones estadounidenses de los sectores financiero, empresarial, médico y agrícola, así como a servicios de emergencia. Aunque no está claro cuál es la relación entre la banda Onyx y el creador de Chaos, el éxito de la banda podría generar más interés en el constructor de Chaos por parte de otros ciberdelincuentes, sobre todo porque las limitaciones de cifrado ya se han solucionado.
Un problema grave de los ataques de Onyx es que se destruyen muchos archivos, lo que va en contra de las prácticas de muchos impulsores de ransomware. Aunque ha habido muchas excepciones a lo largo del tiempo, históricamente la mayoría de las bandas de ransomware han cumplido su promesa de descifrar los archivos. La razón más probable es la reputación, ya que quieren que las víctimas confíen en sus afirmaciones y paguen.
Según el investigador de Malwarebytes Christopher Boyd, este círculo delictivo de confianza se ha erosionado en los últimos años porque algunos grupos han continuado con la extorsión después de haber pagado. Además, ahora hay muchos más grupos que se dedican a este tipo de actividad que antes y aparecen y desaparecen con bastante frecuencia dejando a las víctimas sin solución. Luego está el ransomware defectuoso como Onyx (Chaos) que hace imposible la recuperación.
"En 2022, cualquier pretensión de expectativas o confianza por parte de los autores de ransomware ha navegado en la niebla, para no volver jamás", dijo Boyd en una entrada de blog en abril. "El ransomware es ahora demasiado grande y demasiado inmanejable como para tener un sentido real de funcionamiento esperado. Lo que podemos esperar es que la extorsión continúe incluso después de que se haya pagado el rescate". Como se señala en el artículo, la combinación de que el RaaS (ransomware como servicio) tenga una vida bastante corta y que los afiliados hagan mayoritariamente lo suyo sin tener en cuenta las expectativas del grupo principal, significa que es prácticamente un "todo gratis".
Del caos a Yashma
El problema del cifrado se solucionó en la versión 5 de Chaos, que se lanzó a principios de 2022, haciendo que el ransomware fuera mucho más lento, pero capaz de cifrar todos los tamaños de archivos. Esta versión también añadió un descifrador más refinado y la capacidad de cifrar archivos más allá de los de la unidad C:\, haciéndolo más peligroso, pero su creador no había terminado.
En mayo, el creador del ransomware ha vuelto a cambiar de marca con el lanzamiento de la versión 6, que ahora se llama Yashma. Esta versión añadió la capacidad de los atacantes de configurar el ransomware para que no se ejecute dependiendo del idioma establecido en el dispositivo de la víctima. Se trata de una técnica utilizada a menudo por los autores de malware para evitar infectar ordenadores en su propio país o región, lo que atraería el interés de las fuerzas de seguridad locales. Además, Yashma también puede detener ahora varios servicios que se ejecutan en los ordenadores de las víctimas, como los programas antivirus, los servicios de copia de seguridad, los servicios de almacenamiento, los servicios de escritorio remoto y los servicios de bóveda de credenciales.
Hasta ahora ha habido pocas infecciones con Yashma en la naturaleza, pero éstas podrían aumentar fácilmente, sobre todo porque el constructor está fácilmente disponible en foros clandestinos. Incluso hay versiones filtradas del mismo por las que los ciberdelincuentes no tienen que pagar.
"El seguimiento de los ataques de ransomware atribuidos a Chaos es bastante difícil, ya que los indicadores de compromiso (IOC) pueden cambiar con cada muestra que un constructor de malware produce", dijeron los investigadores de BlackBerry. "Además, incluso los actores de amenazas más novatos pueden encontrar enlaces a lanzamientos y filtraciones de esta amenaza en foros de la web oscura o en repositorios de malware de terceros, y luego usar Chaos/Yashma para llevar a cabo futuras actividades maliciosas".
Los investigadores de BlackBerry incluyeron en su informe indicadores conocidos de compromiso, así como reglas de detección de YARA.
