Хаос RaaS хакерска група
Новопоявилата се операция „Ransomware-as-a-Service“ (RaaS), наречена Chaos, навлезе на пазара на заплахи, предизвиквайки тревоги в общността за киберсигурност. Забелязана за първи път през февруари 2025 г., Chaos изглежда е тясно свързана с бивши членове на екипажа BlackSuit, група, чиято инфраструктура на тъмната мрежа беше наскоро демонтирана от правоохранителните органи по време на операция „Checkmate“. Въпреки името си, Chaos не е свързан с предишни създатели на рансъмуер Chaos като Yashma или Lucky_Gh0$t, което добавя умишлено объркване към вече сложната заплаха.
Съдържание
Тактики на хаоса: От спам до социално инженерство
Веригата от атаки, използвана от Хаос актьорите, започва с лесен за разпространяване на спам и бързо ескалира до гласов фишинг (вишинг). Злонамерените лица използват тези техники, за да подведат целите си да инсталират софтуер за отдалечен работен плот, най-вече Microsoft Quick Assist, за да получат първоначален достъп.
Веднъж щом влязат вътре, те разполагат с арсенал от инструменти за дистанционно наблюдение и управление (RMM), като AnyDesk, ScreenConnect, OptiTune, Syncro RMM и Splashtop, за да установят постоянен контрол над компрометираните мрежи. Действията след компрометиране включват събиране на идентификационни данни, изтриване на регистрационни файлове на събития в PowerShell и премахване на инструменти за сигурност, за да отслабят възможностите за откриване и реагиране.
Лов на едър дивеч и двойно изнудване
Хаосът е възприел стратегия за лов на едър дивеч, като се насочва към ценни организации с техники за двойно изнудване. Това означава не само криптиране на файлове, но и заплаха за изтичане на откраднати данни, освен ако не бъде платен откуп. Групата използва GoodSync, легитимен софтуер за синхронизиране на файлове, за да извлече чувствителни данни, преди да пусне рансъмуер вируса.
Последният етап включва внедряването на многонишков двоичен файл на ransomware, способен бързо да криптира както локални, така и мрежови ресурси. За да осуети допълнително усилията за възстановяване и да избегне откриването, ransomware използва усъвършенствани тактики за антианализ, включително защита срещу виртуални машини, инструменти за отстраняване на грешки, автоматизирани пясъчници и други среди за анализ на заплахи.
Съвместимост между платформи и големи откупи
Рансъмуерът Chaos е забележително гъвкав, с потвърдена съвместимост между Windows, Linux, ESXi и NAS системи. Нападателите изискват големи откупи, обикновено около 300 000 долара, в замяна на инструмент за декриптиране и предполагаем „подробен преглед на проникването“, който включва веригата на атаката и препоръки за сигурност.
Повечето от известните жертви са базирани в Съединените щати, което ги прави основен целеви регион за тази развиваща се заплаха.
Ехо от миналото: Хаосът и връзката с BlackSuit
Въпреки че Chaos е ново име, неговите техники и инфраструктура разкриват ясна връзка. Анализаторите отбелязват силни припокривания с операциите на BlackSuit, включително сходства в:
- Команди за криптиране
- Структура и тон на бележките за откуп
- Използване на идентични инструменти за управление на риска (RMM)
Това е важно, защото самият BlackSuit е ребрендиране на Royal, който произлиза от скандалния синдикат за рансъмуер Conti. Променящите се идентичности показват как тези злонамерени лица се ребрендират и реорганизират, за да изпреварят правоохранителните органи и да поддържат оперативен импулс.
Операция „Шах и мат“: Тактическа победа за правоохранителните органи
Появата на Хаос съвпада с голяма победа на правоохранителните органи при премахването на инфраструктурата на тъмния уебсайт на BlackSuit. Посетителите на конфискуваните от тях сайтове сега се натъкват на начална страница от разследванията на вътрешната сигурност на САЩ, в която се обявява, че сайтовете са конфискувани като част от координирани международни усилия. Властите обаче все още не са публикували официално изявление относно операцията.
Заключителни мисли: Хаосът носи изтънченост и измама
Хаосът представлява опасна смесица от сложни търговски техники и подвеждащо брандиране. Използването на легитимни инструменти, целенасочени атаки и стратегии против откриване го прави сериозна заплаха. Организациите трябва да останат бдителни и да засилят защитата си не само срещу самия зловреден софтуер, но и срещу тактиките на социалното инженерство, които позволяват първоначалния му успех.
