Gruppo di hacker Chaos RaaS
Una nuova operazione Ransomware-as-a-Service (RaaS) chiamata Chaos è entrata nel panorama delle minacce, sollevando allarme nella comunità della sicurezza informatica. Osservata per la prima volta nel febbraio 2025, Chaos sembra essere strettamente collegata agli ex membri del gruppo BlackSuit, la cui infrastruttura del dark web è stata recentemente smantellata dalle forze dell'ordine durante l'Operazione Checkmate. Nonostante il nome, Chaos non è correlato ai precedenti sviluppatori di ransomware Chaos come Yashma o Lucky_Gh0$t, aggiungendo deliberatamente un ulteriore livello di confusione a una minaccia già complessa.
Sommario
Tattiche del caos: dallo spam all’ingegneria sociale
La catena di attacco impiegata dagli autori di Chaos inizia con un flooding di spam a basso impatto e si intensifica rapidamente fino al phishing vocale (vishing). Gli autori delle minacce utilizzano queste tecniche per indurre le vittime a installare software di desktop remoto, in particolare Microsoft Quick Assist, per ottenere l'accesso iniziale.
Una volta all'interno, implementano un arsenale di strumenti di monitoraggio e gestione remota (RMM), come AnyDesk, ScreenConnect, OptiTune, Syncro RMM e Splashtop, per stabilire un controllo persistente sulle reti compromesse. Le azioni successive alla compromissione includono la raccolta delle credenziali, l'eliminazione del registro eventi di PowerShell e la rimozione degli strumenti di sicurezza per indebolire le capacità di rilevamento e risposta.
Caccia grossa e doppia estorsione
Chaos ha adottato una strategia di caccia grossa, prendendo di mira entità di alto valore con tecniche di doppia estorsione. Questo significa non solo crittografare i file, ma anche minacciare di divulgare i dati rubati a meno che non venga pagato un riscatto. Il gruppo utilizza GoodSync, un software legittimo per la sincronizzazione dei file, per esfiltrare i dati sensibili prima di lanciare il payload ransomware.
La fase finale prevede l'implementazione di un binario ransomware multi-thread in grado di crittografare rapidamente sia le risorse locali che quelle di rete. Per vanificare ulteriormente gli sforzi di recupero ed eludere il rilevamento, il ransomware impiega tattiche anti-analisi avanzate, tra cui difese contro macchine virtuali, strumenti di debug, sandbox automatizzate e altri ambienti di analisi delle minacce.
Compatibilità multipiattaforma e riscatti elevati
Il ransomware Chaos è particolarmente versatile, con una compatibilità confermata su sistemi Windows, Linux, ESXi e NAS. Gli aggressori richiedono riscatti elevati, in genere intorno ai 300.000 dollari, in cambio di uno strumento di decrittazione e di una presunta "panoramica dettagliata della penetrazione" che include la catena di attacco e le raccomandazioni di sicurezza.
La maggior parte delle vittime note si trova negli Stati Uniti, il che rende la regione un bersaglio primario per questa minaccia in continua evoluzione.
Echi del passato: il caos e la connessione con BlackSuit
Sebbene Chaos sia un nome nuovo, le sue tecniche e la sua infrastruttura rivelano una chiara discendenza. Gli analisti hanno notato forti sovrapposizioni con le operazioni di BlackSuit, tra cui:
- Comandi di crittografia
- Struttura e tono delle richieste di riscatto
- Utilizzo di strumenti RMM identici
Questo è significativo perché BlackSuit stesso era un rebranding di Royal, che discendeva dal famigerato gruppo ransomware Conti. Il cambio di identità mostra come questi autori di minacce si riorganizzino e cambino il loro marchio per rimanere un passo avanti alle forze dell'ordine e mantenere lo slancio operativo.
Operazione Checkmate: una vittoria tattica per le forze dell’ordine
L'emergere di Chaos coincide con un'importante vittoria delle forze dell'ordine nello smantellamento dell'infrastruttura dark web di BlackSuit. I visitatori dei siti sequestrati si imbattono ora in una splash page della US Homeland Security Investigations, che dichiara che i siti sono stati confiscati nell'ambito di uno sforzo internazionale coordinato. Tuttavia, le autorità non hanno ancora rilasciato una dichiarazione ufficiale in merito all'operazione.
Considerazioni finali: il caos porta sofisticatezza e inganno
Chaos rappresenta una pericolosa combinazione di sofisticate tecniche di marketing e branding ingannevole. L'utilizzo di strumenti legittimi, attacchi mirati e strategie anti-rilevamento lo rende una minaccia significativa. Le organizzazioni devono rimanere vigili e rafforzare le difese non solo contro il malware in sé, ma anche contro le tattiche di ingegneria sociale che ne consentono il successo iniziale.
