Kaos RaaS Hackergruppe
En nylig oppstått Ransomware-as-a-Service (RaaS)-operasjon kalt Chaos har kommet inn i trusselbildet og skapt alarm i cybersikkerhetsmiljøet. Chaos ble først observert i februar 2025, og ser ut til å være nært knyttet til tidligere medlemmer av BlackSuit-mannskapet, en gruppe hvis mørkenettinfrastruktur nylig ble demontert av politiet under Operasjon Checkmate. Til tross for navnet er ikke Chaos relatert til tidligere Chaos-ransomware-byggere som Yashma eller Lucky_Gh0$t, noe som bevisst legger til et lag med forvirring til en allerede kompleks trussel.
Innholdsfortegnelse
Kaostaktikk: Fra spam til sosial manipulering
Angrepskjeden som brukes av kaosaktører starter med lettvint spam-oversvømmelse og eskalerer raskt til stemmefisking (vishing). Trusselaktører bruker disse teknikkene for å lure mål til å installere programvare for eksternt skrivebord, spesielt Microsoft Quick Assist, for å få tilgang.
Når de er inne, distribuerer de et arsenal av verktøy for fjernovervåking og -administrasjon (RMM), som AnyDesk, ScreenConnect, OptiTune, Syncro RMM og Splashtop, for å etablere vedvarende kontroll over kompromitterte nettverk. Tiltak etter kompromittering inkluderer innsamling av legitimasjon, sletting av PowerShell-hendelseslogger og fjerning av sikkerhetsverktøy for å svekke deteksjons- og responsfunksjoner.
Storviltjakt og dobbel utpressing
Chaos har tatt i bruk en strategi for jakt på storvilt, der de retter seg mot verdifulle enheter med dobbel utpressing. Dette innebærer ikke bare å kryptere filer, men også å true med å lekke stjålne data med mindre løsepenger betales. Gruppen bruker GoodSync, en legitim programvare for filsynkronisering, for å tvangsutnytte sensitive data før de lanserer ransomware-nyttelasten.
Det siste stadiet innebærer å distribuere en flertrådet ransomware-binærfil som er i stand til raskt å kryptere både lokale ressurser og nettverksressurser. For å ytterligere forpurre gjenopprettingsarbeidet og unngå deteksjon, bruker ransomware-programmet avanserte antianalysetaktikker, inkludert forsvar mot virtuelle maskiner, feilsøkingsverktøy, automatiserte sandkasser og andre trusselanalysemiljøer.
Kompatibilitet på tvers av plattformer og store løsepenger
Chaos ransomware er bemerkelsesverdig allsidig, med bekreftet kompatibilitet på tvers av Windows-, Linux-, ESXi- og NAS-systemer. Angriperne krever høye løsepenger, vanligvis rundt 300 000 dollar, i bytte mot et dekrypteringsverktøy og en angivelig «detaljert penetrasjonsoversikt» som inkluderer angrepskjeden og sikkerhetsanbefalinger.
De fleste av de kjente ofrene er basert i USA, noe som gjør det til et primært målområde for denne utviklende trusselen.
Ekko fra fortiden: Kaos og BlackSuit-forbindelsen
Selv om Chaos er et nytt navn, avslører teknikkene og infrastrukturen en klar avstamning. Analytikere har bemerket sterke overlappinger med BlackSuit-operasjoner, inkludert likheter i:
- Krypteringskommandoer
- Struktur og tone i løsepengebrev
- Bruk av identiske RMM-verktøy
Dette er viktig fordi BlackSuit i seg selv var en omprofilering av Royal, som stammer fra det beryktede Conti-ransomware-syndikatet. De skiftende identitetene viser hvordan disse trusselaktørene omprofilerer og omorganiserer seg for å ligge i forkant av politiet og opprettholde operativt momentum.
Operasjon Sjakkmatt: En taktisk seier for politiet
Fremveksten av Chaos sammenfaller med en stor seier for politiet i nedkjempelsen av BlackSuits mørkenettinfrastruktur. Besøkende på de beslaglagte nettstedene deres møter nå en startside fra US Homeland Security Investigations, som erklærer at nettstedene er blitt konfiskert som en del av en koordinert internasjonal innsats. Myndighetene har imidlertid ennå ikke gitt ut en offisiell uttalelse om operasjonen.
Avsluttende tanker: Kaos bringer sofistikering og bedrag
Kaos representerer en farlig blanding av sofistikert varemerkehåndtering og villedende merkevarebygging. Bruken av legitime verktøy, målrettede angrep og anti-deteksjonsstrategier gjør det til en betydelig trussel. Organisasjoner må være årvåkne og styrke forsvaret mot ikke bare selve skadevaren, men også de sosiale manipuleringstaktikkene som muliggjør den første suksessen.
