Hakerska grupa Chaos RaaS
Novonastala operacija Ransomware-as-a-Service (RaaS) pod nazivom Chaos ušla je na tržište prijetnji, izazivajući uzbunu unutar zajednice za kibernetičku sigurnost. Prvi put uočena u veljači 2025., čini se da je Chaos usko povezan s bivšim članovima ekipe BlackSuit, skupine čiju je infrastrukturu dark weba nedavno demontirala policija tijekom Operacije Checkmate. Unatoč svom imenu, Chaos nije povezan s prethodnim kreatorima ransomwarea Chaos poput Yashme ili Lucky_Gh0$ta, dodajući namjerni sloj zbunjenosti već složenoj prijetnji.
Sadržaj
Taktike kaosa: od neželjene pošte do društvenog inženjeringa
Lanac napada koji koriste akteri Chaosa započinje preplavljivanjem neželjenom poštom uz mali napor i brzo eskalira do glasovnog phishinga (vishinga). Akteri prijetnji koriste ove tehnike kako bi prevarili mete da instaliraju softver za udaljenu radnu površinu, ponajviše Microsoft Quick Assist, kako bi dobili početni pristup.
Jednom kada uđu unutra, koriste arsenal alata za daljinsko praćenje i upravljanje (RMM), kao što su AnyDesk, ScreenConnect, OptiTune, Syncro RMM i Splashtop, kako bi uspostavili trajnu kontrolu nad kompromitiranim mrežama. Radnje nakon kompromitiranja uključuju prikupljanje vjerodajnica, brisanje zapisnika događaja PowerShella i uklanjanje sigurnosnih alata kako bi oslabili mogućnosti otkrivanja i odgovora.
Lov na krupnu divljač i dvostruka iznuda
Kaos je usvojio strategiju lova na krupnu divljač, ciljajući subjekte visoke vrijednosti tehnikama dvostruke iznude. To znači ne samo šifriranje datoteka, već i prijetnju curenjem ukradenih podataka ako se ne plati otkupnina. Grupa koristi GoodSync, legitimni softver za sinkronizaciju datoteka, za krađu osjetljivih podataka prije lansiranja ransomware programa.
Završna faza uključuje implementaciju višenitnog binarnog programa ransomwarea sposobnog za brzo šifriranje lokalnih i mrežnih resursa. Kako bi dodatno otežao oporavak i izbjegao otkrivanje, ransomware koristi napredne taktike protiv analize, uključujući obranu od virtualnih strojeva, alate za otklanjanje pogrešaka, automatizirane sandboxove i druga okruženja za analizu prijetnji.
Kompatibilnost s više platformi i visoke otkupnine
Chaos ransomware je izrazito svestran, s potvrđenom kompatibilnošću na Windows, Linux, ESXi i NAS sustavima. Napadači traže visoke otkupnine, obično oko 300.000 dolara, u zamjenu za alat za dešifriranje i navodni 'detaljan pregled prodora' koji uključuje lanac napada i sigurnosne preporuke.
Većina poznatih žrtava nalazi se u Sjedinjenim Državama, što ih čini primarnom ciljnom regijom za ovu rastuću prijetnju.
Odjeci prošlosti: Kaos i veza s BlackSuitom
Iako je Chaos novo ime, njegove tehnike i infrastruktura otkrivaju jasnu povezanost. Analitičari su primijetili snažna preklapanja s operacijama BlackSuita, uključujući sličnosti u:
- Naredbe za šifriranje
- Struktura i ton otkupninskih poruka
- Korištenje identičnih RMM alata
Ovo je značajno jer je sam BlackSuit bio rebrendiranje Royala, koji je nastao od zloglasnog sindikata ransomwarea Conti. Promjenjivi identiteti pokazuju kako se ovi akteri prijetnji rebrendiraju i reorganiziraju kako bi ostali ispred policije i održali operativni zamah.
Operacija Šah-mat: Taktička pobjeda za provedbu zakona
Pojava Kaosa podudara se s velikom pobjedom policije u uklanjanju infrastrukture dark weba tvrtke BlackSuit. Posjetitelji njihovih zaplijenjenih stranica sada nailaze na uvodnu stranicu Istraga američke domovinske sigurnosti, u kojoj se navodi da su stranice zaplijenjene kao dio koordiniranog međunarodnog napora. Međutim, vlasti još nisu objavile službenu izjavu u vezi s operacijom.
Završne misli: Kaos donosi sofisticiranost i obmanu
Kaos predstavlja opasnu mješavinu sofisticiranog zanatstva i obmanjujućeg brendiranja. Korištenje legitimnih alata, ciljanih napada i strategija protiv otkrivanja čini ga značajnom prijetnjom. Organizacije moraju ostati budne i pojačati obranu ne samo od samog zlonamjernog softvera već i od taktika socijalnog inženjeringa koje omogućuju njegov početni uspjeh.
