Chaos RaaS įsilaužėlių grupė
Naujai atsiradusi išpirkos reikalaujančių programų kaip paslaugos (RaaS) operacija, pavadinta „Chaos“, įžengė į grėsmių pasaulį ir sukėlė nerimą kibernetinio saugumo bendruomenėje. Pirmą kartą pastebėta 2025 m. vasarį, „Chaos“ yra glaudžiai susijusi su buvusiais „BlackSuit“ įgulos nariais – grupe, kurios tamsiojo interneto infrastruktūrą neseniai teisėsauga išardė operacijos „Checkmate“ metu. Nepaisant pavadinimo, „Chaos“ nėra susijusi su ankstesniais „Chaos“ išpirkos reikalaujančių programų kūrėjais, tokiais kaip „Yashma“ ar „Lucky_Gh0$t“, todėl ir taip sudėtinga grėsmė dar labiau painiojama.
Turinys
Chaoso taktika: nuo šlamšto iki socialinės inžinerijos
„Chaos“ veikėjų naudojama atakų grandinė prasideda nuo lengvai užplūstančio šlamšto ir greitai perauga į balso sukčiavimą (angl. visishing). Grėsmių veikėjai naudoja šiuos metodus, kad apgautų taikinius ir priverstų juos įdiegti nuotolinio darbalaukio programinę įrangą, ypač „Microsoft Quick Assist“, kad gautų pradinę prieigą.
Patekę į vidų, jie pasitelkia nuotolinio stebėjimo ir valdymo (RMM) įrankių arsenalą, pvz., „AnyDesk“, „ScreenConnect“, „OptiTune“, „Syncro RMM“ ir „Splashtop“, kad užtikrintų nuolatinę pažeistų tinklų kontrolę. Veiksmai po pažeidimo apima kredencialų rinkimą, „PowerShell“ įvykių žurnalo ištrynimą ir saugos įrankių pašalinimą, siekiant susilpninti aptikimo ir reagavimo galimybes.
Stambiųjų žvėrių medžioklė ir dvigubas turto prievartavimas
„Chaos“ pasirinko didelio masto medžioklės strategiją, taikydama dvigubo išpirkos reikalavimo metodus į vertingus subjektus. Tai reiškia ne tik failų šifravimą, bet ir grasinimą nutekinti pavogtus duomenis, nebent būtų sumokėta išpirka. Grupė naudoja „GoodSync“ – legalią failų sinchronizavimo programinę įrangą, kad išfiltruotų jautrius duomenis prieš paleisdama išpirkos reikalaujančią programinę įrangą.
Paskutinis etapas apima daugiagijas išpirkos reikalaujančios programinės įrangos dvejetainio failo, galinčio greitai užšifruoti tiek vietinius, tiek tinklo išteklius, diegimą. Siekdama dar labiau apsunkinti atkūrimo pastangas ir išvengti aptikimo, išpirkos reikalaujanti programa naudoja pažangią antianalizės taktiką, įskaitant apsaugą nuo virtualių mašinų, derinimo įrankius, automatizuotas smėlio dėžes ir kitas grėsmių analizės aplinkas.
Suderinamumas tarp platformų ir didelės išpirkos
„Chaos“ išpirkos reikalaujanti programa yra itin universali, jos suderinamumas su „Windows“, „Linux“, „ESXi“ ir NAS sistemomis patvirtintas. Užpuolikai reikalauja didelių išpirkų, paprastai apie 300 000 USD, mainais už iššifravimo įrankį ir tariamą „išsamią įsiskverbimo apžvalgą“, kurioje būtų atakos grandinė ir saugumo rekomendacijos.
Dauguma žinomų aukų yra Jungtinėse Valstijose, todėl tai yra pagrindinis šios besivystančios grėsmės taikinys.
Praeities aidai: chaosas ir juodojo kostiumo ryšys
Nors „Chaos“ yra naujas pavadinimas, jo metodai ir infrastruktūra atskleidžia aiškią kilmę. Analitikai pastebėjo didelį sutapimą su „BlackSuit“ operacijomis, įskaitant panašumus:
- Šifravimo komandos
- Išpirkos raštelių struktūra ir tonas
- Identiškų RMM įrankių naudojimas
Tai reikšminga, nes pati „BlackSuit“ buvo „Royal“ prekės ženklo pakeitimas, o pastaroji kilo iš liūdnai pagarsėjusio „Conti“ išpirkos reikalaujančių programų sindikato. Besikeičiančios tapatybės rodo, kaip šie grėsmių veikėjai keičia savo prekės ženklus ir reorganizuojasi, kad aplenktų teisėsaugą ir išlaikytų veiklos pagreitį.
Operacija „Checkmate“: taktinė teisėsaugos pergalė
„Chaos“ atsiradimas sutampa su svarbia teisėsaugos pergale uždarant „BlackSuit“ tamsiojo interneto infrastruktūrą. Lankytojai, apsilankę užgrobtose svetainėse, dabar mato JAV vidaus saugumo tyrimų tarnybos įžanginį puslapį, kuriame teigiama, kad svetainės buvo konfiskuotos vykdant koordinuotas tarptautines pastangas. Tačiau valdžios institucijos dar nepaskelbė oficialaus pareiškimo dėl šios operacijos.
Baigiamosios mintys: Chaosas atneša rafinuotumą ir apgaulę
„Chaos“ yra pavojingas sudėtingos prekybos ir apgaulingo prekės ženklo derinys. Dėl teisėtų įrankių, tikslinių atakų ir apsaugos nuo aptikimo strategijų naudojimo ji kelia didelę grėsmę. Organizacijos privalo išlikti budrios ir stiprinti apsaugą ne tik nuo pačios kenkėjiškos programos, bet ir nuo socialinės inžinerijos taktikos, kuri leido jai iš pradžių sėkmingai veikti.
