Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Ransomware Grup de pirates informàtics Chaos RaaS

Grup de pirates informàtics Chaos RaaS

El Mezo el Ransomware
Traduir a:

Una operació de ransomware com a servei (RaaS) recentment sorgida anomenada Chaos ha entrat en el panorama de les amenaces, fent sonar les alarmes dins de la comunitat de ciberseguretat. Observada per primera vegada el febrer de 2025, Chaos sembla estar estretament vinculada a antics membres de la tripulació BlackSuit, un grup la infraestructura de la dark web del qual va ser recentment desmantellada per les forces de l'ordre durant l'Operació Checkmate. Malgrat el seu nom, Chaos no està relacionat amb els anteriors creadors de ransomware Chaos com Yashma o Lucky_Gh0$t, cosa que afegeix una capa deliberada de confusió a una amenaça ja complexa.

Tàctiques del caos: del correu brossa a l’enginyeria social

La cadena d'atac emprada pels actors del Caos comença amb una inundació de correu brossa de baix esforç i s'intensifica ràpidament fins a convertir-se en phishing per veu (vishing). Els actors amenaçadors utilitzen aquestes tècniques per enganyar els objectius perquè instal·lin programari d'escriptori remot, sobretot Microsoft Quick Assist, per obtenir accés inicial.

Un cop a dins, despleguen un arsenal d'eines de monitorització i gestió remota (RMM), com ara AnyDesk, ScreenConnect, OptiTune, Syncro RMM i Splashtop, per establir un control persistent sobre les xarxes compromeses. Les accions posteriors al compromís inclouen la recopilació de credencials, l'eliminació del registre d'esdeveniments de PowerShell i l'eliminació d'eines de seguretat per debilitar les capacitats de detecció i resposta.

Caça major i doble extorsió

Chaos ha adoptat una estratègia de caça major, dirigint-se a entitats d'alt valor amb tècniques de doble extorsió. Això significa no només xifrar fitxers, sinó també amenaçar amb filtrar dades robades si no es paga un rescat. El grup utilitza GoodSync, un programari legítim de sincronització de fitxers, per exfiltrar dades sensibles abans de llançar la càrrega útil del ransomware.

La fase final consisteix a desplegar un binari de ransomware multifil capaç de xifrar ràpidament els recursos locals i de xarxa. Per frustrar encara més els esforços de recuperació i evadir la detecció, el ransomware utilitza tàctiques anti-anàlisi avançades, com ara defenses contra màquines virtuals, eines de depuració, sandboxes automatitzades i altres entorns d'anàlisi d'amenaces.

Compatibilitat multiplataforma i grans rescats

El ransomware Chaos és notablement versàtil, amb compatibilitat confirmada entre sistemes Windows, Linux, ESXi i NAS. Els atacants exigeixen rescats elevats, normalment al voltant de 300.000 dòlars, a canvi d'una eina de desxifratge i una suposada "visió general detallada de la penetració" que inclou la cadena d'atac i recomanacions de seguretat.

La majoria de les víctimes conegudes es troben als Estats Units, cosa que els converteix en una regió objectiu principal d'aquesta amenaça en evolució.

Ecos del passat: el caos i la connexió BlackSuit

Tot i que Chaos és un nom nou, les seves tècniques i infraestructura revelen un llinatge clar. Els analistes han observat fortes coincidències amb les operacions de BlackSuit, incloent-hi similituds en:

  • Comandes de xifratge
  • Estructura i to de les notes de rescat
  • Ús d'eines RMM idèntiques

Això és significatiu perquè BlackSuit en si mateix va ser un canvi de marca de Royal, que descendia del famós sindicat de ransomware Conti. Les identitats canviants mostren com aquests actors d'amenaces canvien de marca i es reorganitzen per mantenir-se per davant de les forces de l'ordre i mantenir l'impuls operatiu.

Operació Escac i Mat: Una victòria tàctica per a les forces de l’ordre

L'aparició de Chaos coincideix amb una important victòria de les forces de l'ordre en la desactivació de la infraestructura de la web fosca de BlackSuit. Els visitants dels seus llocs confiscats ara troben una pàgina de presentació de les Investigacions de Seguretat Nacional dels EUA, que declara que els llocs han estat confiscats com a part d'un esforç internacional coordinat. Tanmateix, les autoritats encara no han publicat cap declaració oficial sobre l'operació.

Reflexions finals: el caos porta sofisticació i engany

El caos representa una barreja perillosa d'arts comercials sofisticades i marques enganyoses. El seu ús d'eines legítimes, atacs dirigits i estratègies antidetecció el converteix en una amenaça important. Les organitzacions han de mantenir-se vigilants i reforçar les defenses no només contra el programari maliciós en si, sinó també contra les tàctiques d'enginyeria social que permeten el seu èxit inicial.

Tendència

Més vist

Carregant...