Onderzoekers hebben een nooit eerder ontdekte cross-platform malwarevariant ontdekt. ‘Chaos’ infecteerde honderden verschillende Linux- en Windows-systemen, waaronder kleine kantoorrouters, FreeBSD-apparaten en grote bedrijfsservers.

Black Lotus Labs, de onderzoekstak van securitybedrijf Lumen, noemt de malware ‘Chaos’. De naam is afgeleid van het feit dat de term voortdurend voortkomt in de bestandsnamen en certificaten van de malware. De eerste Chaos control servers werden op 16 april 2022 operationeel.

De onderzoekers ontdekten tussen juni en juli honderden IP-adressen die wezen op gehackte Chaos-apparaten. De aanvallers gebruiken staging servers om nieuwe apparaten te infecteren. Het aantal servers steeg van 39 in mei naar 93 in augustus. Op dinsdag 27 september waren er 111 servers operationeel.

Waarom is Chaos zo effectief?

Black Lotus monitort de staging servers via Linux-apparaten en zakelijke servers, waaronder een server in Europa met een GitLab instance. De onderzoekers ontdekten ongeveer 100 verschillende monsters van Chaos in de praktijk.

Black Lotus beschreef in een blogpost waarom Chaos zo succesvol is. Om te beginnen is de malware compatibel met verschillende architecturen, waaronder ARM, Intel (i386), MIPS, PowerPC, Windows en Linux. Ten tweede verspreidt Chaos zich met behulp van gestolen SSH-sleutels, CVE’s en brute force-aanvallen, in tegenstelling tot grootschalige ransomware botnets als Emotet, die afhankelijk zijn van spam.

Updaten

Uit de data van Black Lotus blijkt dat Chaos-infecties voornamelijk voorkomen in Europa, met kleine hotspots in Noord-Amerika, Zuid-Amerika en de regio Azië-Pacific. De twee belangrijkste maatregelen die organisaties kunnen nemen om zichzelf te beschermen zijn het updaten van apparaten en het gebruik van meerstapsverificatie (MFA).

Het kan geen kwaad om de routers van kantoren eens in de zoveel tijd opnieuw op te starten, aangezien de meeste routervirussen een herstart niet overleven. Overweeg apparaten een of twee keer per week te resetten. Zorg daarnaast dat SSH-gebruikers altijd een cryptografische sleutel gebruiken voor verificaties.

Tip: Cybercriminelen kapen VMware ESXi met nooit eerder ontdekte techniek