En 2025, la familia Chaos ransomware dio un giro importante: apareció Chaos-C++, la primera variante escrita en C++ y no en .NET. Esta transición no solo representa un cambio técnico, sino también una estrategia más agresiva y sofisticada. El malware ya no se limita a cifrar archivos y exigir rescates; ahora incorpora tácticas destructivas y un mecanismo de clipboard hijacking que sustituye direcciones de Bitcoin en el portapapeles, redirigiendo pagos a billeteras controladas por los atacantes.
Cómo opera Chaos-C++
El ataque comienza con un falso instalador llamado System Optimizer v2.1, que muestra mensajes engañosos de optimización mientras descarga el payload malicioso. Una vez desplegado, el ransomware verifica privilegios administrativos y ejecuta comandos para eliminar copias de seguridad, desactivar recuperación del sistema y asegurar que la víctima no tenga vías sencillas de restauración.
En la fase de cifrado, Chaos-C++ aplica una estrategia diferenciada según el tamaño del archivo:
- ≤ 50 MB: se cifra completamente con AES-256-CFB o, en su defecto, con un algoritmo XOR.
- 50 MB – 1.3 GB: se omiten, acelerando el ataque.
- > 1.3 GB: el contenido se elimina de forma irreversible, generando una pérdida total de información.
Además, el malware deja un archivo de nota de rescate y activa un mensaje emergente que obliga al usuario a leer las instrucciones de pago.
Clipboard hijacking: el nuevo nivel de extorsión
Una de las novedades más preocupantes es la capacidad de robo silencioso de criptomonedas. Chaos-C++ identifica direcciones de Bitcoin en el portapapeles y las sustituye automáticamente por una dirección de los atacantes. Así, incluso si la víctima intenta realizar un pago legítimo a un tercero, los fondos terminan en manos del grupo criminal.
Tendencias y riesgos empresariales
Este cambio de enfoque refleja que los desarrolladores de Chaos están experimentando con un equilibrio entre rapidez y daño irreversible, acercando cada vez más al ransomware a un comportamiento de wiper. Para las empresas, esto significa que no basta con contar con planes de respaldo; también es crítico asegurar la resiliencia de la infraestructura, los procesos de recuperación y la concientización del personal.
Conclusión
Chaos-C++ es una señal clara de cómo la evolución del ransomware apunta hacia ataques más veloces, destructivos y multifacéticos. Ya no se trata únicamente de pagar un rescate, sino de enfrentar un panorama donde los datos pueden desaparecer para siempre y donde incluso los intentos de pago pueden ser interceptados.
La lección para las organizaciones es evidente: invertir en prevención y monitoreo avanzado no es opcional, sino esencial para mitigar los impactos de amenazas que avanzan con tanta rapidez.
