Skupina hackerů Chaos RaaS
Nově vzniklá operace ransomwaru jako služby (RaaS) s názvem Chaos vstoupila na scénu hrozeb a vyvolala poplach v komunitě kybernetické bezpečnosti. Chaos, poprvé pozorovaný v únoru 2025, se zdá být úzce spjat s bývalými členy skupiny BlackSuit, jejíž infrastruktura dark webu byla nedávno demontována policií během operace Checkmate. Navzdory svému názvu Chaos nesouvisí s předchozími tvůrci ransomwaru Chaos, jako jsou Yashma nebo Lucky_Gh0$t, což k již tak komplexní hrozbě záměrně přidává vrstvu zmatku.
Obsah
Taktiky chaosu: Od spamu k sociálnímu inženýrství
Řetězec útoků používaný aktéry Chaos začíná nenáročným zahlcením spamem a rychle eskaluje do hlasového phishingu (vishingu). Aktéři útoků používají tyto techniky k tomu, aby oklamali cíle a přiměli je nainstalovat software pro vzdálenou plochu, zejména Microsoft Quick Assist, a získali tak počáteční přístup.
Jakmile se dostanou dovnitř, nasadí arzenál nástrojů pro vzdálené monitorování a správu (RMM), jako jsou AnyDesk, ScreenConnect, OptiTune, Syncro RMM a Splashtop, aby zajistili trvalou kontrolu nad napadenými sítěmi. Mezi akce po napadení patří sběr přihlašovacích údajů, mazání protokolu událostí PowerShellu a odebrání bezpečnostních nástrojů, které oslabí detekční a reakční schopnosti.
Lov velké zvěře a dvojité vydírání
Chaos přijal strategii lovu velké zvěře, přičemž cílí na vysoce hodnotné subjekty pomocí technik dvojitého vydírání. To znamená nejen šifrování souborů, ale také vyhrožování únikem ukradených dat, pokud nebude zaplaceno výkupné. Skupina využívá GoodSync, legitimní software pro synchronizaci souborů, k exfiltraci citlivých dat před spuštěním ransomwarového balíčku.
Poslední fáze zahrnuje nasazení vícevláknového binárního souboru ransomwaru, který je schopen rychle šifrovat lokální i síťové prostředky. Aby ransomware dále zmařil úsilí o obnovu a vyhnul se odhalení, používá pokročilé antianalytické taktiky, včetně obrany proti virtuálním strojům, ladicích nástrojů, automatizovaných sandboxů a dalších prostředí pro analýzu hrozeb.
Kompatibilita napříč platformami a vysoké výkupné
Ransomware Chaos je pozoruhodně všestranný s potvrzenou kompatibilitou na systémech Windows, Linux, ESXi a NAS. Útočníci požadují vysoké výkupné, obvykle kolem 300 000 dolarů, výměnou za dešifrovací nástroj a údajný „podrobný přehled o průniku“, který zahrnuje řetězec útoku a bezpečnostní doporučení.
Většina známých obětí se nachází ve Spojených státech, což z nich činí primární cílovou oblast pro tuto vyvíjející se hrozbu.
Ozvěny minulosti: Chaos a spojení s BlackSuit
Ačkoli je Chaos nové jméno, jeho techniky a infrastruktura odhalují jasnou souvislost. Analytici zaznamenali silné překrývání s operacemi BlackSuit, včetně podobností v:
- Šifrovací příkazy
- Struktura a tón výkupných poznámek
- Použití identických nástrojů RMM
To je významné, protože BlackSuit sám o sobě byl rebrandingem Royal, který pocházel z nechvalně známého syndikátu ransomwaru Conti. Měnící se identity ukazují, jak se tito aktéři hrozeb mění a reorganizují, aby si udrželi náskok před orgány činnými v trestním řízení a udrželi si operační dynamiku.
Operace Šachmat: Taktické vítězství pro orgány činné v trestním řízení
Vznik Chaosu se shoduje s významným vítězstvím orgánů činných v trestním řízení při likvidaci infrastruktury dark webu společnosti BlackSuit. Návštěvníci zabavených stránek nyní narazí na úvodní stránku od vyšetřování americké ministerstva vnitřní bezpečnosti, která uvádí, že stránky byly zabaveny v rámci koordinovaného mezinárodního úsilí. Úřady však dosud nevydaly oficiální prohlášení ohledně operace.
Závěrečné myšlenky: Chaos přináší sofistikovanost a podvod
Chaos představuje nebezpečnou směs sofistikovaného malwaru a klamavého brandingu. Používání legitimních nástrojů, cílených útoků a strategií proti detekci z něj činí významnou hrozbu. Organizace musí zůstat ostražité a posilovat obranu nejen proti samotnému malwaru, ale i proti taktikám sociálního inženýrství, které umožňují jeho počáteční úspěch.
