Rabattilbud med flere licenser
Trusseldatabase Ransomware Kaos RaaS Hackergruppe

Kaos RaaS Hackergruppe

Med Mezo i Ransomware
Oversæt til:

En nyligt opstået Ransomware-as-a-Service (RaaS)-operation kaldet Chaos er kommet ind i trusselsbilledet og har skabt alarm i cybersikkerhedsmiljøet. Chaos, der først blev observeret i februar 2025, ser ud til at være tæt forbundet med tidligere medlemmer af BlackSuit-holdet, en gruppe hvis dark web-infrastruktur for nylig blev afviklet af politiet under Operation Checkmate. Trods navnet er Chaos ikke relateret til tidligere Chaos ransomware-udviklere som Yashma eller Lucky_Gh0$t, hvilket bevidst tilføjer et lag af forvirring til en allerede kompleks trussel.

Kaostaktik: Fra spam til social manipulation

Angrebskæden, der anvendes af Chaos-aktører, starter med en skånsom spam-oversvømmelse og eskalerer hurtigt til voice phishing (vishing). Trusselaktører bruger disse teknikker til at narre mål til at installere fjernskrivebordssoftware, især Microsoft Quick Assist, for at få adgang i første omgang.

Når de er inde, implementerer de et arsenal af fjernovervågnings- og administrationsværktøjer (RMM), såsom AnyDesk, ScreenConnect, OptiTune, Syncro RMM og Splashtop, for at etablere vedvarende kontrol over kompromitterede netværk. Handlinger efter kompromittering omfatter indsamling af legitimationsoplysninger, sletning af PowerShell-hændelseslogfiler og fjernelse af sikkerhedsværktøjer for at svække detekterings- og responsfunktioner.

Storvildtjagt og dobbelt afpresning

Chaos har indført en strategi for jagt på storvildt, hvor de går efter værdifulde enheder med dobbelte afpresningsteknikker. Dette betyder ikke kun at kryptere filer, men også at true med at lække stjålne data, medmindre der betales en løsesum. Gruppen bruger GoodSync, en legitim filsynkroniseringssoftware, til at stjæle følsomme data, før ransomware-nyttelasten lanceres.

Den sidste fase involverer implementering af en flertrådet ransomware-binærfil, der er i stand til hurtigt at kryptere både lokale og netværksressourcer. For yderligere at forpurre gendannelsesindsatsen og undgå opdagelse anvender ransomware-programmet avancerede antianalysetaktikker, herunder forsvar mod virtuelle maskiner, fejlfindingsværktøjer, automatiserede sandkasser og andre trusselsanalysemiljøer.

Kompatibilitet på tværs af platforme og store løsepenge

Chaos ransomware er bemærkelsesværdigt alsidig med bekræftet kompatibilitet på tværs af Windows, Linux, ESXi og NAS-systemer. Angriberne kræver store løsesummer, typisk omkring $300.000, i bytte for et dekrypteringsværktøj og en angivelig 'detaljeret penetrationsoversigt', der inkluderer angrebskæden og sikkerhedsanbefalinger.

De fleste af de kendte ofre er baseret i USA, hvilket gør det til et primært målområde for denne udviklende trussel.

Ekkoer fra fortiden: Kaos og BlackSuit-forbindelsen

Selvom Chaos er et nyt navn, afslører dets teknikker og infrastruktur en klar afstamning. Analytikere har bemærket stærke overlapninger med BlackSuit-operationer, herunder ligheder i:

  • Krypteringskommandoer
  • Struktur og tone i løsesumsbreve
  • Brug af identiske RMM-værktøjer

Dette er betydningsfuldt, fordi BlackSuit i sig selv var en rebranding af Royal, som nedstammede fra det berygtede Conti ransomware-syndikat. De skiftende identiteter viser, hvordan disse trusselsaktører rebrander og reorganiserer sig for at forblive foran retshåndhævende myndigheder og opretholde operationelt momentum.

Operation Checkmate: En taktisk sejr for retshåndhævelse

Fremkomsten af Chaos falder sammen med en stor sejr for retshåndhævelsen i forbindelse med nedlukningen af BlackSuits dark web-infrastruktur. Besøgende på deres beslaglagte websteder støder nu på en startside fra US Homeland Security Investigations, der erklærer, at webstederne er blevet konfiskeret som en del af en koordineret international indsats. Myndighederne har dog endnu ikke udsendt en officiel erklæring vedrørende operationen.

Afsluttende tanker: Kaos bringer sofistikering og bedrag

Kaos repræsenterer en farlig blanding af sofistikeret håndværk og vildledende branding. Brugen af legitime værktøjer, målrettede angreb og anti-detekteringsstrategier gør det til en betydelig trussel. Organisationer skal forblive årvågne og styrke forsvaret mod ikke kun selve malwaren, men også de social engineering-taktikker, der muliggør dets indledende succes.

Trending

Mest sete

Indlæser...