Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Ransomware Ομάδα Χάκερ Chaos RaaS

Ομάδα Χάκερ Chaos RaaS

Μέχρι το Mezo το Ransomware
Μετάφραση σε:

Μια νεοεμφανιζόμενη επιχείρηση Ransomware-as-a-Service (RaaS) που ονομάζεται Chaos έχει εισέλθει στο τοπίο των απειλών, εγείροντας συναγερμό στην κοινότητα της κυβερνοασφάλειας. Παρατηρήθηκε για πρώτη φορά τον Φεβρουάριο του 2025 και φαίνεται να συνδέεται στενά με πρώην μέλη του πληρώματος BlackSuit, μιας ομάδας της οποίας η υποδομή του σκοτεινού ιστού διαλύθηκε πρόσφατα από τις αρχές επιβολής του νόμου κατά τη διάρκεια της Επιχείρησης Checkmate. Παρά το όνομά της, η Chaos δεν σχετίζεται με προηγούμενους κατασκευαστές ransomware της Chaos, όπως η Yashma ή η Lucky_Gh0$t, προσθέτοντας ένα σκόπιμο επίπεδο σύγχυσης σε μια ήδη πολύπλοκη απειλή.

Τακτικές του Χάους: Από το Spam στην Κοινωνική Μηχανική

Η αλυσίδα επίθεσης που χρησιμοποιούν οι παράγοντες του Χάους ξεκινά με πλημμύρα ανεπιθύμητης αλληλογραφίας χαμηλής προσπάθειας και γρήγορα κλιμακώνεται σε φωνητικό ηλεκτρονικό ψάρεμα (vishing). Οι απειλητικοί παράγοντες χρησιμοποιούν αυτές τις τεχνικές για να ξεγελάσουν τους στόχους ώστε να εγκαταστήσουν λογισμικό απομακρυσμένης επιφάνειας εργασίας, κυρίως το Microsoft Quick Assist, για να αποκτήσουν αρχική πρόσβαση.

Μόλις εισέλθουν στο εσωτερικό, αναπτύσσουν ένα οπλοστάσιο εργαλείων απομακρυσμένης παρακολούθησης και διαχείρισης (RMM), όπως τα AnyDesk, ScreenConnect, OptiTune, Syncro RMM και Splashtop, για να εδραιώσουν τον συνεχή έλεγχο των παραβιασμένων δικτύων. Οι ενέργειες μετά την παραβίαση περιλαμβάνουν τη συλλογή διαπιστευτηρίων, τη διαγραφή του αρχείου καταγραφής συμβάντων PowerShell και την αφαίρεση εργαλείων ασφαλείας για την αποδυνάμωση των δυνατοτήτων ανίχνευσης και απόκρισης.

Κυνήγι μεγάλων θηραμάτων και διπλός εκβιασμός

Το Chaos έχει υιοθετήσει μια στρατηγική κυνηγιού μεγάλων θηραμάτων, στοχεύοντας οντότητες υψηλής αξίας με τεχνικές διπλού εκβιασμού. Αυτό σημαίνει όχι μόνο κρυπτογράφηση αρχείων αλλά και απειλή διαρροής κλεμμένων δεδομένων, εκτός εάν καταβληθούν λύτρα. Η ομάδα χρησιμοποιεί το GoodSync, ένα νόμιμο λογισμικό συγχρονισμού αρχείων, για να απομακρύνει ευαίσθητα δεδομένα πριν από την εκτόξευση του φορτίου ransomware.

Το τελικό στάδιο περιλαμβάνει την ανάπτυξη ενός πολυνηματικού δυαδικού αρχείου ransomware ικανού να κρυπτογραφεί γρήγορα τόσο τους τοπικούς όσο και τους δικτυακούς πόρους. Για να ματαιώσει περαιτέρω τις προσπάθειες ανάκτησης και να αποφύγει την ανίχνευση, το ransomware χρησιμοποιεί προηγμένες τακτικές κατά της ανάλυσης, όπως άμυνες κατά εικονικών μηχανών, εργαλεία εντοπισμού σφαλμάτων, αυτοματοποιημένα sandboxes και άλλα περιβάλλοντα ανάλυσης απειλών.

Συμβατότητα μεταξύ πλατφορμών και μεγάλα λύτρα

Το ransomware Chaos είναι αξιοσημείωτα ευέλικτο, με επιβεβαιωμένη συμβατότητα σε συστήματα Windows, Linux, ESXi και NAS. Οι επιτιθέμενοι απαιτούν υψηλά ποσά λύτρα, συνήθως περίπου 300.000 δολάρια, σε αντάλλαγμα για ένα εργαλείο αποκρυπτογράφησης και μια υποτιθέμενη «λεπτομερή επισκόπηση διείσδυσης» που περιλαμβάνει την αλυσίδα επίθεσης και συστάσεις ασφαλείας.

Τα περισσότερα από τα γνωστά θύματα έχουν έδρα τις Ηνωμένες Πολιτείες, γεγονός που τις καθιστά πρωταρχικό στόχο για αυτήν την εξελισσόμενη απειλή.

Ηχώ του Παρελθόντος: Το Χάος και η Σύνδεση με το BlackSuit

Ενώ το Χάος είναι ένα νέο όνομα, οι τεχνικές και η υποδομή του αποκαλύπτουν μια σαφή καταγωγή. Οι αναλυτές έχουν παρατηρήσει ισχυρές επικαλύψεις με τις επιχειρήσεις της BlackSuit, συμπεριλαμβανομένων ομοιοτήτων σε:

  • Εντολές κρυπτογράφησης
  • Δομή και ύφος των σημειωμάτων λύτρων
  • Χρήση πανομοιότυπων εργαλείων RMM

Αυτό είναι σημαντικό επειδή το ίδιο το BlackSuit ήταν μια μετονομασία της Royal, η οποία προήλθε από το διαβόητο συνδικάτο ransomware Conti. Οι μεταβαλλόμενες ταυτότητες δείχνουν πώς αυτοί οι απειλητικοί παράγοντες μετονομάζονται και αναδιοργανώνονται για να παραμένουν μπροστά από τις αρχές επιβολής του νόμου και να διατηρούν την επιχειρησιακή τους δυναμική.

Επιχείρηση Checkmate: Μια τακτική νίκη για τις αρχές επιβολής του νόμου

Η εμφάνιση του Χάους συμπίπτει με μια σημαντική νίκη των αρχών επιβολής του νόμου στην εξάρθρωση της υποδομής του dark web της BlackSuit. Οι επισκέπτες των κατασχεμένων ιστότοπών τους συναντούν τώρα μια αρχική σελίδα από τις Έρευνες Εσωτερικής Ασφάλειας των ΗΠΑ, η οποία δηλώνει ότι οι ιστότοποι έχουν κατασχεθεί στο πλαίσιο μιας συντονισμένης διεθνούς προσπάθειας. Ωστόσο, οι αρχές δεν έχουν ακόμη εκδώσει επίσημη δήλωση σχετικά με την επιχείρηση.

Τελικές Σκέψεις: Το Χάος Φέρνει Εκλέπτυνση και Απάτη

Το χάος αντιπροσωπεύει ένα επικίνδυνο μείγμα εξελιγμένης εμπορικής τέχνης και παραπλανητικής προβολής επωνυμίας. Η χρήση νόμιμων εργαλείων, στοχευμένων επιθέσεων και στρατηγικών κατά της ανίχνευσης το καθιστά σημαντική απειλή. Οι οργανισμοί πρέπει να παραμένουν σε εγρήγορση και να ενισχύουν τις άμυνες όχι μόνο ενάντια στο ίδιο το κακόβουλο λογισμικό αλλά και στις τακτικές κοινωνικής μηχανικής που επιτρέπουν την αρχική του επιτυχία.

Τάσεις

Το σύστημά σας έχει μολυνθεί με 3 ιούς - απάτη με...

Απατεώνες Ιστότοποι, Πιθανώς ανεπιθύμητα προγράμματα
Οι χρήστες γίνονται συνεχώς στόχος ολοένα και πιο εξελιγμένων διαδικτυακών απατήσεων. Ένα τέτοιο παράδειγμα που αποκαλύφθηκε από ερευνητές κυβερνοασφάλειας είναι η αναδυόμενη απάτη με το μήνυμα «Το...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
35,998
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...