Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ransomware Chaos RaaS hakeru grupa

Chaos RaaS hakeru grupa

Līdz Mezo. gadam Ransomware. gadā
Tulkot uz:

Jaunizveidota izspiedējvīrusu kā pakalpojuma (RaaS) operācija ar nosaukumu Chaos ir ienākusi apdraudējumu ainavā, radot bažas kiberdrošības kopienā. Pirmo reizi novērota 2025. gada februārī, Chaos šķiet cieši saistīta ar bijušajiem BlackSuit komandas locekļiem — grupu, kuras tumšā tīmekļa infrastruktūru nesen likvidēja tiesībaizsardzības iestādes operācijas Checkmate laikā. Neskatoties uz savu nosaukumu, Chaos nav saistīts ar iepriekšējiem Chaos izspiedējvīrusu izstrādātājiem, piemēram, Yashma vai Lucky_Gh0$t, radot apzinātu apjukuma slāni jau tā sarežģītajam apdraudējumam.

Haosa taktika: no surogātpasta līdz sociālajai inženierijai

Haosa dalībnieku izmantotā uzbrukumu ķēde sākas ar viegli piepūlētu surogātpasta pārsūtīšanu un ātri pāraug balss pikšķerēšanā (vishing). Draudu dalībnieki izmanto šīs metodes, lai apmānītu mērķus, liekot tiem instalēt attālās darbvirsmas programmatūru, jo īpaši Microsoft Quick Assist, lai iegūtu sākotnējo piekļuvi.

Nonākot iekšā, viņi izvieto plašu attālās uzraudzības un pārvaldības (RMM) rīku arsenālu, piemēram, AnyDesk, ScreenConnect, OptiTune, Syncro RMM un Splashtop, lai izveidotu pastāvīgu kontroli pār apdraudētiem tīkliem. Darbības pēc apdraudējuma ietver akreditācijas datu iegūšanu, PowerShell notikumu žurnāla dzēšanu un drošības rīku noņemšanu, lai vājinātu noteikšanas un reaģēšanas iespējas.

Lielo medījumu medības un dubulta izspiešana

“Chaos” ir pieņēmusi lielu medījumu stratēģiju, mērķējot uz vērtīgām struktūrām, izmantojot dubultas izspiešanas metodes. Tas nozīmē ne tikai failu šifrēšanu, bet arī draudus nopludināt nozagtos datus, ja vien netiks samaksāta izpirkuma maksa. Grupa izmanto “GoodSync”, leģitīmu failu sinhronizācijas programmatūru, lai izfiltrētu sensitīvus datus pirms izspiedējvīrusa palaišanas.

Pēdējais posms ietver daudzpavedienu izspiedējvīrusa binārā faila izvietošanu, kas spēj ātri šifrēt gan lokālos, gan tīkla resursus. Lai vēl vairāk sarežģītu atkopšanas centienus un izvairītos no atklāšanas, izspiedējvīruss izmanto uzlabotu pretanalīzes taktiku, tostarp aizsardzību pret virtuālajām mašīnām, atkļūdošanas rīkus, automatizētas smilškastes un citas draudu analīzes vides.

Starpplatformu saderība un ievērojama izpirkuma maksa

Izspiedējvīruss Chaos ir ievērojami daudzpusīgs, un tā saderība ir apstiprināta ar Windows, Linux, ESXi un NAS sistēmām. Uzbrucēji pieprasa lielas izpirkuma maksas, parasti aptuveni 300 000 ASV dolāru, apmaiņā pret atšifrēšanas rīku un it kā “detalizētu ielaušanās pārskatu”, kas ietver uzbrukuma ķēdi un drošības ieteikumus.

Lielākā daļa zināmo upuru atrodas Amerikas Savienotajās Valstīs, padarot to par galveno mērķa reģionu šim mainīgajam apdraudējumam.

Pagātnes atbalsis: Haoss un saikne ar melno uzvalku

Lai gan Chaos ir jauns nosaukums, tā metodes un infrastruktūra atklāj skaidru izcelsmi. Analītiķi ir atzīmējuši spēcīgu pārklāšanos ar BlackSuit darbībām, tostarp līdzības:

  • Šifrēšanas komandas
  • Izpirkuma piezīmju struktūra un tonis
  • Identisku RMM rīku izmantošana

Tas ir nozīmīgi, jo pats BlackSuit bija Royal zīmola maiņa, kas savukārt bija cēlies no bēdīgi slavenā Conti izspiedējvīrusu sindikāta. Mainīgās identitātes parāda, kā šie apdraudējumu dalībnieki maina zīmolu un reorganizējas, lai apsteigtu tiesībaizsardzības iestādes un saglabātu darbības impulsu.

Operācija “Šaha mats”: taktiska uzvara tiesībaizsardzības iestādēm

Haosa parādīšanās sakrīt ar ievērojamu tiesībaizsardzības iestāžu uzvaru BlackSuit tumšā tīmekļa infrastruktūras likvidēšanā. Apmeklētāji, kas apmeklējuši viņu konfiscētās vietnes, tagad redz ASV Iekšzemes drošības izmeklēšanas dienesta (US Homeland Security Investigations) ievadlapu, kurā paziņots, ka vietnes ir konfiscētas kā daļa no koordinētas starptautiskas darbības. Tomēr varas iestādes vēl nav publicējušas oficiālu paziņojumu par šo operāciju.

Noslēguma domas: Haoss rada izsmalcinātību un maldināšanu

Haoss ir bīstams sarežģītas tirdzniecības un maldinošas zīmola veidošanas sajaukums. Tā likumīgu rīku, mērķtiecīgu uzbrukumu un pretatklāšanas stratēģiju izmantošana padara to par būtisku draudu. Organizācijām ir jāpaliek modrām un jāstiprina aizsardzība ne tikai pret pašu ļaunprogrammatūru, bet arī pret sociālās inženierijas taktiku, kas nodrošināja tās sākotnējos panākumus.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
35,998
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...