Chaos RaaS Hacker Group

Egy újonnan megjelent, Chaos nevű zsarolóvírus-szolgáltatásként (RaaS) művelet lépett be a fenyegetések világába, ami riadalmat keltett a kiberbiztonsági közösségben. A 2025 februárjában először megfigyelt Chaos szorosan kapcsolódik a BlackSuit legénység korábbi tagjaihoz, egy olyan csoporthoz, amelynek sötét webes infrastruktúráját a közelmúltban a bűnüldöző szervek a Checkmate hadművelet során felszámolták. Nevével ellentétben a Chaos nem áll kapcsolatban a korábbi Chaos zsarolóvírus-fejlesztőkkel, mint a Yashma vagy a Lucky_Gh0$t, ami szándékosan tovább bonyolítja a már amúgy is összetett fenyegetést.

A káosz taktikája: a spamtől a társadalmi manipulációig

A Chaos szereplői által alkalmazott támadási lánc alacsony erőfeszítésű spam elárasztással kezdődik, és gyorsan hangalapú adathalászattá (vishing) fajul. A fenyegetések szereplői ezeket a technikákat arra használják, hogy a célpontokat távoli asztali szoftverek, leginkább a Microsoft Quick Assist telepítésére kényszerítsék a kezdeti hozzáférés megszerzése érdekében.

Miután bejutottak, számos távoli megfigyelő és kezelő (RMM) eszközt telepítenek, mint például az AnyDesk, a ScreenConnect, az OptiTune, a Syncro RMM és a Splashtop, hogy állandó ellenőrzést gyakoroljanak a feltört hálózatok felett. A feltörés utáni intézkedések közé tartozik a hitelesítő adatok begyűjtése, a PowerShell eseménynapló törlése és a biztonsági eszközök eltávolítása az észlelési és reagálási képességek gyengítése érdekében.

Nagyvad vadászat és kettős zsarolás

A Chaos nagyvad-vadászati stratégiát alkalmazott, amely kettős zsarolási technikákkal célozza meg a nagy értékű entitásokat. Ez nemcsak fájlok titkosítását jelenti, hanem azzal is fenyegeti őket, hogy kiszivárogtatják az ellopott adatokat, hacsak nem fizetnek váltságdíjat. A csoport a GoodSync-et, egy legitim fájlszinkronizáló szoftvert használja az érzékeny adatok kiszivárogtatására, mielőtt elindítaná a zsarolóvírus-csomagot.

Az utolsó szakasz egy többszálú zsarolóvírus bináris fájl telepítését foglalja magában, amely képes gyorsan titkosítani mind a helyi, mind a hálózati erőforrásokat. A helyreállítási erőfeszítések további megnehezítése és az észlelés elkerülése érdekében a zsarolóvírus fejlett anti-analízis taktikákat alkalmaz, beleértve a virtuális gépek elleni védelmet, hibakereső eszközöket, automatizált tesztkörnyezeteket és más fenyegetéselemző környezeteket.

Platformfüggetlen kompatibilitás és tetemes váltságdíjak

A Chaos zsarolóvírus figyelemre méltóan sokoldalú, Windows, Linux, ESXi és NAS rendszerekkel is kompatibilis. A támadók magas váltságdíjat követelnek, jellemzően 300 000 dollár körüli összeget, egy visszafejtési eszközért és egy állítólagos „részletes behatolási áttekintésért”, amely tartalmazza a támadási láncot és a biztonsági ajánlásokat.

Az ismert áldozatok többsége az Egyesült Államokban él, így ez az egyik elsődleges célpontja ennek a folyamatosan változó fenyegetésnek.

A múlt visszhangjai: Káosz és a fekete öltönyös kapcsolat

Bár a Chaos új név, technikái és infrastruktúrája egyértelmű származást mutat. Az elemzők erős átfedéseket figyeltek meg a BlackSuit műveleteivel, beleértve a hasonlóságokat a következőkben:

• Titkosítási parancsok
• A váltságdíjjegyzetek szerkezete és hangvétele
• Azonos RMM eszközök használata

Ez azért jelentős, mert maga a BlackSuit a Royal átnevezése volt, amely a hírhedt Conti zsarolóvírus-szindikátusból származott. A változó identitás azt mutatja, hogyan alakítják át arculatukat és szervezeteiket ezek a fenyegető szereplők, hogy megelőzzék a bűnüldöző szerveket és fenntartsák a működési lendületet.

Sakk-matt hadművelet: Taktikai győzelem a bűnüldöző szervek számára

A Chaos megjelenése egybeesik a BlackSuit sötét webes infrastruktúrájának lebontásában elért jelentős bűnüldöző győzelemmel. A lefoglalt oldalak látogatói most az amerikai belbiztonsági nyomozószolgálat (US Homeland Security Investigations) egy nyitóoldalával találkoznak, amely kijelenti, hogy az oldalakat egy összehangolt nemzetközi erőfeszítés részeként kobozták el. A hatóságok azonban még nem adtak ki hivatalos nyilatkozatot a műveletről.

Záró gondolatok: A káosz kifinomultságot és megtévesztést hoz

A Káosz a kifinomult kereskedelmi gyakorlatok és a megtévesztő márkaépítés veszélyes keverékét képviseli. Legális eszközök, célzott támadások és észlelésgátló stratégiák használata jelentős fenyegetést jelent. A szervezeteknek ébernek kell maradniuk, és nemcsak magával a rosszindulatú programmal, hanem a kezdeti sikerét lehetővé tevő társadalmi manipulációs taktikák ellen is fokozniuk kell a védelmet.