Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Ransomware Chaos RaaS Hacker Group

Chaos RaaS Hacker Group

Tegen Mezo in Ransomware
Vertalen naar:

Een recent ontdekte Ransomware-as-a-Service (RaaS)-operatie genaamd Chaos heeft zijn intrede gedaan in het dreigingslandschap en leidt tot grote bezorgdheid binnen de cybersecuritygemeenschap. Chaos, voor het eerst waargenomen in februari 2025, lijkt nauw verbonden te zijn met voormalige leden van de BlackSuit-crew, een groep waarvan de darkwebinfrastructuur onlangs door de politie werd ontmanteld tijdens Operatie Checkmate. Ondanks de naam is Chaos niet gerelateerd aan eerdere Chaos-ransomwareontwikkelaars zoals Yashma of Lucky_Gh0$t, wat een opzettelijke laag verwarring toevoegt aan een toch al complexe dreiging.

Tactieken van chaos: van spam tot social engineering

De aanvalsketen die Chaos-actoren gebruiken, begint met een moeiteloze spam-overstroming en escaleert al snel tot voice phishing (vishing). Criminelen gebruiken deze technieken om doelwitten ertoe te verleiden software voor externe bureaubladen te installeren, met name Microsoft Quick Assist, om zo toegang te krijgen.

Eenmaal binnen zetten ze een arsenaal aan tools voor remote monitoring en management (RMM) in, zoals AnyDesk, ScreenConnect, OptiTune, Syncro RMM en Splashtop, om permanente controle te krijgen over gecompromitteerde netwerken. Acties na een aanval omvatten onder andere het verzamelen van inloggegevens, het verwijderen van PowerShell-gebeurtenislogboeken en het verwijderen van beveiligingstools om de detectie- en reactiemogelijkheden te verzwakken.

Jacht op groot wild en dubbele afpersing

Chaos heeft een jachtstrategie voor groot wild aangenomen, waarbij ze zich richten op waardevolle entiteiten met dubbele afpersingstechnieken. Dit betekent niet alleen het versleutelen van bestanden, maar ook het dreigen met het lekken van gestolen gegevens tenzij er losgeld wordt betaald. De groep gebruikt GoodSync, een legitieme software voor bestandssynchronisatie, om gevoelige gegevens te exfiltreren voordat de ransomware-payload wordt gelanceerd.

De laatste fase omvat de implementatie van een multithreaded ransomware-bestand dat snel zowel lokale als netwerkbronnen kan versleutelen. Om herstelpogingen verder te frustreren en detectie te omzeilen, maakt de ransomware gebruik van geavanceerde anti-analysetactieken, waaronder verdediging tegen virtuele machines, debuggingtools, geautomatiseerde sandboxes en andere omgevingen voor bedreigingsanalyse.

Cross-platform compatibiliteit en hoge losgelden

Chaos ransomware is bijzonder veelzijdig en compatibel met Windows-, Linux-, ESXi- en NAS-systemen. De aanvallers eisen hoge losgeldbedragen, meestal rond de $ 300.000, in ruil voor een decryptietool en een zogenaamd 'gedetailleerd penetratieoverzicht' met de aanvalsketen en beveiligingsaanbevelingen.

De meeste bekende slachtoffers bevinden zich in de Verenigde Staten. Daarmee is dit een belangrijk doelwit voor deze steeds veranderende dreiging.

Echo's uit het verleden: chaos en de connectie met het zwarte pak

Hoewel Chaos een nieuwe naam is, vertonen de technieken en infrastructuur een duidelijke verwantschap. Analisten hebben sterke overlappingen met de activiteiten van BlackSuit opgemerkt, waaronder overeenkomsten in:

  • Versleutelingsopdrachten
  • Structuur en toon van losgeldbrieven
  • Gebruik van identieke RMM-tools

Dit is belangrijk omdat BlackSuit zelf een rebranding was van Royal, dat afstamde van het beruchte Conti-ransomwaresyndicaat. De veranderende identiteiten laten zien hoe deze cybercriminelen zich van naam veranderen en reorganiseren om de wetshandhaving voor te blijven en hun operationele momentum te behouden.

Operatie Checkmate: een tactische overwinning voor de wetshandhaving

De opkomst van Chaos valt samen met een belangrijke overwinning voor de wetshandhaving bij het uitschakelen van de dark web-infrastructuur van BlackSuit. Bezoekers van hun in beslag genomen sites zien nu een splash-pagina van US Homeland Security Investigations, waarop staat dat de sites in beslag zijn genomen als onderdeel van een gecoördineerde internationale actie. De autoriteiten hebben echter nog geen officiële verklaring over de operatie afgegeven.

Laatste gedachten: Chaos brengt verfijning en bedrog

Chaos is een gevaarlijke mix van geavanceerde vakmanschap en misleidende branding. Het gebruik van legitieme tools, gerichte aanvallen en antidetectiestrategieën maakt het een aanzienlijke bedreiging. Organisaties moeten waakzaam blijven en hun verdediging versterken, niet alleen tegen de malware zelf, maar ook tegen de social engineering-tactieken die het aanvankelijke succes mogelijk maken.

Trending

Meest bekeken

Bezig met laden...