Ransomware Yashma: árvore da família Chaos totalmente traçada pela BlackBerry

A BlackBerry divulgou em um artigo em sua página oficial todo o making-off que acompanha o nascimento de um novo ransomware, no caso, o Yashma, permitindo que o mercado possa ter um vislumbre de como os agentes de ameaças operam. Um simples contato com uma conversa trocada entre um dos criminosos e uma vítima, possibilitou que a BlackBerry pudesse obter novos insights da origem do malware Chaos, revelando uma árvore genealógica que o liga tanto com as variantes Onyx e Yashma.

As provas reveladas durante a discussão entre essa vítima e o grupo por trás do ransomware Onyx, se passaram no site de vazamento dos autores. Alguém que se intitulou criador do kit de construção do Chaos se juntou à conversa e revelou que o Onyx foi construído a partir do próprio Construtor de Ransomware Chaos V4.0 do autor.

A aparente intenção de extinguir o Onyx como um “imitador” é particularmente irônica, dada as origens do Chaos, que teve sua primeira encarnação apresentando-se como uma versão .NET da marca Ryuk, utilizando-se de todo branding deles em sua interface gráfica. Entretanto a resposta para essa tática desajeitada foi tão negativa, que o obrigou a desistir de passar-se por um Ryuk e realizar um rebranding rápido da sua nova criação sob a marca “Chaos”.

O risco desta primeira versão da ameaça era médio, mas seus impactos eram considerados altos, sendo que o sistema operacional atingido era somente o Windows.

Embora o construtor de ransomware Chaos esteja a solta por um ano, o Yashma proclama ser a sexta versão desse malware (v6.0). A pesquisa e inteligência da BlackBerry tem observado uma progressão lateral por meio de interações, desde o primeiro (Ryuk .NET builder – Chaos v1.0), até seu último, o “Yashma Ransomware Builder” (Chaos v6.0).

Ao se proclamar ser da família Ryuk, a promoção da primeira versão do Chaos nos fóruns da dark web, despertou muitas análises e pesquisas por parte das comunidades de cybersegurança e engenharia reversa. De toda forma, nenhum link concreto foi encontrado no Ryuk real, ou com o grupo Wizard Spider, que criou essa infame ameaça. Era mais como se o autor fosse um “pretendente ao trono”, na tentativa de ganhar com a notoriedade do ransomware ao adotar o nome Ruyk. Em algumas semanas, o autor relançou o ranwomsare com o nome de Chaos e logo em seguida também lançou as versões 2.0 e 3.0.

O novo malware gerado por esse “construtor de ransomware” inicial era bem básico, e tinha falta de várias funcionalidades esperadas de uma peça típica de ransomware. Como resultado, ela atuou mais como um destruidor ou limpador.

 Algumas das funções que ele possuía eram:

  •  Randomizar as extensões dos arquivos afetados;
  •  Copiar a si mesmo para dar um nome de processo (default: svchost.exe), na pasta %AppData%;
  • Criar um arquivo .LNK na pasta de inicialização da vítima;
  • Adicionar RegKey aos seguintes destinos: Software\\Microsoft\\Windows\\CurrentVersion\Run; Key: Microsoft Store/; e Value: %Current Path/Location%;
  • Tentar se espalhar por meio de qualquer USB conectado;
  • Realizar a função sleep/delay.

Esse malware tinha como alvo somente o HD da pasta C:\ da vítima, procurando por arquivos localizados nas pastas desktop, contatos, downloads, música, links, documentos, fotos, Onedrive, Games Salvos, Favoritos, Pesquisas e Vídeos.

Embora básico, o Chaos tinha mais de cem extensões de arquivo como alvo que ele tentaria criptografar. Essa versão inicial sobrescrevia qualquer arquivo alvo com uma string randomizado Base64, ao invés de realmente criptografar os arquivos. Por conta de os arquivos originais serem perdidos durante o processo, a recuperação não era possível. Em cada pasta, ele deixava uma nota nomeada “read_it.txt”. Essa opção era altamente customizável com as interações do ransomware builder.

Chaos V2.0 e v3.0

Depois do rebrand do Chaos, a segunda versão foi lançada e era mais refinada do que a inicial, incluindo mais opções avançadas, que eram mais esperadas de se encontrar em ameaças mais desenvolvidas. Ele ainda continuava a se intitular de ransomware, mesmo que a terminologia estivesse incorreta e sua principal função continuasse sendo a de limpador de arquivos.

As outras interações adicionais que foram incorporadas incluíam:

  • Deletar cópias de sombra;
  • Deletar catálogos de backup;
  • Desabilitar o modo de recuperação do Windows.

Ainda que tenha incluído essas novas funções, ele ainda era construído com base no Chaos v1.0 (Ryuk .NET), significando que o malware continuava destrutivo, sem a intenção de permitir uma recuperação à vítima. Esse fator é até mesmo mencionado pelo autor na sessão sobre a versão 2.0.

Um mês depois do lançamento da versão 2.0, foi lançada a versão 3.0, que finalmente contava com a capacidade de criptografar arquivos. Isso significava que o autor também conseguiria criar uma descriptografia, permitindo a exigência de resgate pelos arquivos, entretanto, ele só conseguia criptografar arquivos menores que 1MB, continuando a sobrescrever os arquivos maiores que isso e fazendo-os irrecuperáveis.

Chaos 4.0/Onyx

Com o autor procurando refinar ainda mais sua criação, foi lançado o Chaos 4.0. Assim como suas versões anteriores, ele demonstra melhorias em relação às amostras do Chaos v3.0, principalmente na rotina de criptografia, tornando-se capaz de criar ransomwares que podiam criptografar arquivos maiores, até 2.1MB. Infelizmente, arquivos maiores continuavam sendo sobrescritos. As habilidades adicionadas eram:

  • Mudar o wallpaper da vítima;
  • Lista de extensão de arquivos customizável;
  • Melhor compatibilidade de criptografia.

Essa versão do Chaos ganhou notoriedade em Abril de 2022, quando foi usada como arma por um grupo chamado Onyx. Esse grupo em especial, se infiltrou na rede da organização da vítima, roubou qualquer dado valioso e então soltaram o “Onyx ransomware”, sua própria criação baseada no Chaos Builder v4.0.

O grupo simplesmente customizou a sua nota de ransom e criou uma lista refinada de extensões de arquivos que eles queriam como alvo. Havia somente algumas poucas peculiaridades que o diferenciavam de qualquer outra amostra construída com o Chaos v4.0.

Chaos v5.0/Yashma

O Chaos Ransomware Builder v5.0 foi lançado no começo de 2022, mais uma vez com a fundação base na versão anterior. Essa versão tentava resolver o maior problema nas outras versões desta ameaça: a sua incapacidade de criptografar arquivos maiores sem os corromper.

Essa versão criptografa os arquivos da vítima com AES-256. As customizações, entretanto, não mudaram se comparados com o Chaos v4.0, o que dá as seguintes opções ao autor:

  • Criar uma nota ransomware customizada;
  • Rodar na inicialização;
  • Soltar o malware como um processo diferente;
  • Função Sleep antes da execução;
  • Mudar o wallpaper;
  • Criptografar extensões de arquivo específicas;
  • Quebrar a função de recuperação do sistema;
  • Propagar o malware por meio de conexões;
  • Escolher uma criptografia de extensão de arquivo customizada;
  • Desativar o task manager.

Embora mais lento para realizar as funções, o malware finalmente conseguia criptografar arquivos de todos os tamanhos, com capacidade para recuperá-los com uma chave específica.

Depois do lançamento do Chaos v5.0, outro rebranding foi feito para um relançamento sob o nome de Yashma, com duas funcionalidades a mais que o diferenciava das outras versões, permitindo que agora ele tivesse proteção contra rodar o arquivo no local de origem, evitando problemas legais no país de origem dos autores, sem contar sua capacidade de desativar vários serviços do desktop da vítima, como soluções antivírus, serviços de cofre, serviços de backup, serviços de storage e serviços de desktop remotos. 

Conclusão

O Chaos e, subsequentemente, o Yashma, teve um desenvolvimento rápido e avançou durante o último ano. O que o torna perigoso, é sua capacidade de propagação e sua flexibilidade. Como ele é oferecido como um malware builder, qualquer criminoso é capaz de utilizá-lo para replicar as ações de grupos, como o Onyx, dificultando o rastreamento devido às mudanças dos Indicadores de Comprometimento (IOCs), de cada amostra produzida pelo malware builder.

Assistência BlackBerry

A BlackBerry é composta por consultores especialistas e dedicados a lidar, responder e conter uma grande gama de incidentes, incluindo casos de ransomware, como analisado acima e também casos de ameaças avançadas persistentes (APT).

Conheça mais sobre a BlackBerry e sobre seu papel no combate a esse tipo de cyberameaça. 

Entre em contato com a M3Corp e fale com nosso gerente de canais.