Fidye yazılım çetelerinden bazılarının operasyonlarını bitirmiş olmasına karşın, yerleri hızlı bir şekilde dolduruluyor ve yeni aktörler ortaya çıkıyor. Yeni bir tehdit aktörü olarak Chaos adındaki fidye yazılım çetesine ait bazı yer altı forumlarında hala yapım aşamasında olan zararlı yazılım oluşturma aracı tespit edilmiş.
Trend Micro araştırmacısı Monte de Jesus’a göre; Haziran ayından bu yana aktif olarak geliştirilen Chaos’un 5 Ağustos’da tamamiyle hazır olduğu ve şu ana kadar 4 farklı versiyonun çıkartıldığını belirtiyor. Bu kadar hızlı geliştirmenin ardından, yakında ilk kullanım için hazır olacağı anlamı çıkartılabileceğini ancak şimdiye kadar gerçek saldırılarda kullanılmadığını söyledi.
Trend Micro araştırmacıları, Chaos adlı zararlı yazılım oluşturucuya ait şu ana kadar 4 farklı versiyona rastladılar. Bununla ilgili gelişimlere bakıldığında:
1- Sürüm1.0: Tehdit aktörleri zararlı yazılım oluşturucuya ait ilk sürümü 9 Haziran’da yayınlamışlar. İlk sürümde en dikkat çeken nokta ise tehdit aktörlerinin Ryuk adını kullanmış olmaları olarak geçiyor. Araştırmacılar, Ryuk ile karşılaştıdıkları zaman aralarında çok az bir ortak nokta olduğunu hatta Chaos’un gelenekesel bir fidye yazılım olmadığını, aksine yıkıcı etkilere sahip bir truva atı olduğunu belirtiyorlar. Bu sürüm içinde yer alan en ilginç işlevin ise etkilenen bir sistemde bulunan tüm sürücülere yayılmasını sağlayan solucanın yer alması olarak gösteriliyor.
İlk sürümde diğer fidye yazılımlarının aksine dosyaları şifrelemek yerine dosyaların içeriğini rastgele baytlarla değiştirip, ardından dosyalar Base64’te kodladığı belirtiliyor. Bu işlemle birlikte etkilenen dosyaların artık geri yüklenemeyeceği ve kurbanların fidyeyi ödemeye herhangi bir teşvikinde ortadan kalktığı belirtiliyor.
2- Sürüm2.0: İlk sürüm yayınlanmasından sadece 8 gün sonra, tehdit aktörleri tarafından 17 Haziran 2021’de ikinci sürümü yayınlandı. İlk sürümün aksine bu sefer Chaos adını kullanmışlar. İkinci sürümle birlikte gelişmiş yönetici yetenekleri, tüm birim gölge kopyalarını ve yedeklemiş dosyaları silme ve Windows kurtarma modunu devre dışı bırakma yeteneği eklenmiş olarak gelmiş.
Paylaşımın yapıldığı forumdaki diğer üyeler sürüm2.0’nin kurbanlara ait dosyalarının üzerine yazdığı için kurbanların bu şekilde herhangi bir fidye ücreti ödeyemeyecelerini belirtmişler.
3- Sürüm3.0: Üçüncü sürüm ise 5 Temmuz 2021’de yayınlanmış. Bu sürümün AES/RSA şifrelemesi kullanarak 1 MB’ın altındaki dosyaları şifreleme yeteneğine sahip ve bir şifre çözücü içeriyormuş.
4-Sürüm4.0: Son sürüm ise 5 Ağustos tarihinde yayınlandı. Bu sürümde şifrelenebilecek dosyaların üst sınırı 2 MB’a çıkarılarak AES/RSA şifrelemesi genişletilmiş. Ayrıca, özel olarak oluşturulmuş uzantıları dosyalara ekleyebilip, şifreleyebildikleri ve kurbanların masaüstü duvar kağıdını değiştirebildiği görülmüş.
Araştırmacılar, Chaos zararlı yazılım oluşturucusunun piyasaki gelişmiş fidye yazılım oluşturucularının çok gerisinde olduklarını belirtiyor. 4. sürümü yayınlamalarına rağmen kurbanların verilerini çalma gibi bu ve diğer özelliklerden yoksun olduğunu belirtiyorlar.
