קבוצת ההאקרים Chaos RaaS

מבצע חדש של תוכנות כופר כשירות (RaaS) בשם Chaos נכנס לנוף האיומים ועורר אזעקה בקהילת אבטחת הסייבר. Chaos, שנצפתה לראשונה בפברואר 2025, נראה כי קשור קשר הדוק לחברים לשעבר בצוות BlackSuit, קבוצה שתשתית הרשת האפלה שלה פורקה לאחרונה על ידי רשויות אכיפת החוק במהלך מבצע Checkmate. למרות שמו, Chaos אינו קשור לבוני תוכנות כופר Chaos קודמים כמו Yashma או Lucky_Gh0$t, מה שמוסיף שכבת בלבול מכוונת לאיום מורכב ממילא.

טקטיקות של כאוס: מספאם להנדסה חברתית

שרשרת ההתקפה שבה משתמשים גורמי כאוס מתחילה בהצפה של ספאם במאמץ נמוך ומיד מתפתחת לפישינג קולי (וישינג). גורמי איום משתמשים בטכניקות אלו כדי להערים על מטרות ולגרום להן להתקין תוכנה לשולחן עבודה מרוחק, בעיקר Microsoft Quick Assist, כדי לקבל גישה ראשונית.

לאחר הכניסה, הם פורסים ארסנל של כלי ניטור וניהול מרחוק (RMM), כגון AnyDesk, ScreenConnect, OptiTune, Syncro RMM ו-Splashtop, כדי לבסס שליטה מתמשכת על רשתות שנפרצו. פעולות לאחר הפריצה כוללות קצירת אישורים, מחיקת יומן אירועים של PowerShell והסרה של כלי אבטחה כדי להחליש את יכולות הזיהוי והתגובה.

ציד חיות גדולות וסחיטה כפולה

Chaos אימצה אסטרטגיית ציד חיות בר גדולות, ומכוונת לישויות בעלות ערך גבוה באמצעות טכניקות סחיטה כפולות. משמעות הדבר היא לא רק הצפנת קבצים אלא גם איום לדליפת נתונים גנובים אלא אם כן ישולם כופר. הקבוצה משתמשת ב-GoodSync, תוכנת סנכרון קבצים לגיטימית, כדי לחלץ נתונים רגישים לפני שיגור מטען הכופר.

השלב הסופי כולל פריסת תוכנת כופר בינארית מרובה-הליכים המסוגלת להצפין במהירות משאבים מקומיים ומשאבים ברשת. כדי לסכל עוד יותר את מאמצי ההתאוששות ולהתחמק מגילוי, תוכנת הכופר משתמשת בטקטיקות מתקדמות של אנטי-אנליזה, כולל הגנות מפני מכונות וירטואליות, כלי ניפוי שגיאות, ארגזי חול אוטומטיים וסביבות ניתוח איומים אחרות.

תאימות בין פלטפורמות וכופר גדול

תוכנת הכופר Chaos היא רב-תכליתית בולטת, עם תאימות מאומתת בין מערכות Windows, Linux, ESXi ו-NAS. התוקפים דורשים סכומי כופר גבוהים, בדרך כלל בסביבות 300,000 דולר, בתמורה לכלי פענוח ו"סקירת חדירה מפורטת" לכאורה הכוללת את שרשרת ההתקפה והמלצות אבטחה.

רוב הקורבנות הידועים מתגוררים בארצות הברית, מה שהופך אותה לאזור יעד עיקרי לאיום מתפתח זה.

הדים של העבר: כאוס והקשר של חליפות השחורות

בעוד ש-Chaos הוא שם חדש, הטכניקות והתשתית שלו חושפות שושלת ברורה. אנליסטים ציינו חפיפות חזקות עם פעילות BlackSuit, כולל קווי דמיון ב:

• פקודות הצפנה
• מבנה וטון של פתקי הכופר
• שימוש בכלי RMM זהים

זה משמעותי משום ש-BlackSuit עצמה הייתה מיתוג מחדש של Royal, אשר צמחה מסינדיקט הכופר הידוע לשמצה של Conti. הזהויות המשתנות מראות כיצד גורמי האיום הללו ממתגים מחדש ומתארגנים מחדש כדי להישאר צעד אחד קדימה מול אכיפת החוק ולשמור על מומנטום מבצעי.

מבצע שחמט: ניצחון טקטי לאכיפת החוק

הופעתה של Chaos חופפת לניצחון משמעותי של רשויות אכיפת החוק בחיסול תשתית הרשת האפלה של BlackSuit. מבקרים באתרים שנתפסו נתקלים כעת בדף פתיחה של חקירות ביטחון המולדת של ארה"ב, המכריז כי האתרים הוחרמו כחלק ממאמץ בינלאומי מתואם. עם זאת, הרשויות טרם פרסמו הצהרה רשמית בנוגע למבצע.

מחשבות אחרונות: כאוס מביא עימו תחכום והונאה

כאוס מייצג שילוב מסוכן של מסחר מתוחכם ומיתוג מטעה. השימוש בכלים לגיטימיים, התקפות ממוקדות ואסטרטגיות נגד גילוי הופך אותו לאיום משמעותי. ארגונים חייבים להישאר ערניים ולחזק את ההגנות לא רק מפני התוכנה הזדונית עצמה, אלא גם מפני טקטיקות ההנדסה החברתית המאפשרות את הצלחתו הראשונית.