El equipo de investigación e inteligencia de BlackBerry publicó un análisis exhaustivo de la línea de ransomware Chaos. Chaos es un generador de ransomware basado en GUI que ha estado en el mercado oscuro desde el verano pasado. Originalmente, este generador de ransomware se lanzó con el nombre de Ryuk .NET Builder , anunciado como una versión .NET de Ryuk , y luego cambió de marca y resurgió su segunda versión con un nuevo nombre, Chaos, con 11 meses de diferencia entre el original y la última variante.
Se han detectado diferentes variantes de Chaos utilizadas masivamente en la naturaleza, con múltiples operadores detrás de los ataques. Los adversarios se dirigen principalmente a entidades de los sectores médico, agrícola, financiero, de la construcción y proveedores de servicios de emergencia ubicados en EE. UU.
Yashma es la última versión de este ransomware, que incluye dos nuevas mejoras, incluida la capacidad de detener la ejecución en función de la ubicación de la víctima y finalizar numerosos procesos relacionados con el antivirus y el software de copia de seguridad.
“Chaos comenzó como un intento relativamente básico de un ransomware compilado de .NET que, en cambio, funcionaba como un destructor de archivos o un limpiador”, mencionaron los investigadores. "Con el tiempo, ha evolucionado hasta convertirse en un ransomware completo, agregando características y funcionalidades adicionales con cada iteración".
Cabe destacar que se ha observado que esta variante de Chaos se pone del lado de Rusia en su conflicto en curso contra Ucrania, y la actividad posterior al cifrado generó una alerta que contiene un enlace que dirige a un sitio web con mensajes prorrusos.
Otra cosa que debemos saber es que los atacantes no tiene la intención de proporcionar una herramienta de descifrado o instrucciones de recuperación de archivos para que sus víctimas recuperen sus archivos afectados ya que esta herramienta no se dirige a robar si no que a destruir.
