Peneliti keamanan siber telah mengungkapkan rincian versi terbaru dari lini ransomware Chaos, yang dijuluki Yashma.
“Meskipun pembuat ransomware Chaos baru berada di alam liar selama satu tahun, Yashma mengklaim sebagai versi keenam (v6.0) dari malware ini,” kata tim riset dan intelijen BlackBerry dalam sebuah laporan yang dibagikan kepada The Hacker News.
Chaos adalah pembuat ransomware yang dapat disesuaikan yang muncul di forum bawah tanah pada 9 Juni 2021, dengan salah memasarkan dirinya sendiri sebagai Ryuk versi .NET meskipun tidak berbagi tumpang tindih dengan rekan terkenalnya.
Fakta bahwa itu ditawarkan untuk dijual juga berarti bahwa setiap aktor jahat dapat membeli pembuat dan mengembangkan jenis ransomware mereka sendiri, mengubahnya menjadi ancaman yang kuat.
Sejak itu telah mengalami lima iterasi berturut-turut yang bertujuan untuk meningkatkan fungsinya: versi 2.0 pada 17 Juni, versi 3.0 pada 5 Juli, versi 4.0 pada 5 Agustus, dan versi 5.0 pada awal 2022.
Sementara tiga varian pertama Chaos berfungsi lebih seperti trojan perusak daripada ransomware tradisional, Chaos 4.0 memperluas proses enkripsinya dengan meningkatkan batas atas file yang dapat dienkripsi menjadi 2,1 MB.
Versi 4.0 juga telah secara aktif dipersenjatai oleh kolektif ransomware yang dikenal sebagai Onyx pada April 2022 dengan memanfaatkan catatan tebusan yang diperbarui dan daftar ekstensi file yang disempurnakan yang dapat ditargetkan.
“Chaos 5.0 berusaha untuk menyelesaikan masalah terbesar dari iterasi ancaman sebelumnya, yaitu tidak dapat mengenkripsi file yang lebih besar dari 2MB tanpa merusaknya secara permanen,” jelas para peneliti.
Yashma adalah versi terbaru yang bergabung dalam daftar ini, menampilkan dua peningkatan baru, termasuk kemampuan untuk menghentikan eksekusi berdasarkan lokasi korban dan menghentikan berbagai proses yang terkait dengan antivirus dan perangkat lunak cadangan.
“Kekacauan dimulai sebagai upaya yang relatif mendasar pada ransomware yang dikompilasi .NET yang berfungsi sebagai penghancur file atau penghapus,” kata para peneliti. “Seiring waktu itu telah berkembang menjadi ransomware lengkap, menambahkan fitur dan fungsionalitas tambahan dengan setiap iterasi.”
Perkembangan ini terjadi ketika varian ransomware Chaos telah terlihat berpihak pada Rusia dalam perang yang sedang berlangsung melawan Ukraina, dengan aktivitas pasca-enkripsi yang mengarah ke peringatan yang berisi tautan yang mengarah ke situs web dengan pesan pro-Rusia.
“Penyerang tidak berniat memberikan alat dekripsi atau instruksi pemulihan file bagi korbannya untuk memulihkan file mereka yang terpengaruh,” Fortinet FortiGuard Labs mengungkapkan minggu lalu, menambahkannya “membuat malware menjadi penghancur file.”