Grupa hakerów Chaos RaaS
Nowo powstała operacja typu ransomware-as-a-Service (RaaS) o nazwie Chaos wkroczyła na scenę zagrożeń, wzbudzając niepokój w społeczności cyberbezpieczeństwa. Zaobserwowana po raz pierwszy w lutym 2025 roku, operacja Chaos wydaje się być ściśle powiązana z byłymi członkami ekipy BlackSuit, grupy, której infrastruktura darknetu została niedawno zdemontowana przez organy ścigania podczas operacji Checkmate. Pomimo nazwy, Chaos nie jest powiązany z poprzednimi twórcami ransomware Chaos, takimi jak Yashma czy Lucky_Gh0$t, co celowo wprowadza zamęt do i tak już złożonego zagrożenia.
Spis treści
Taktyka chaosu: od spamu do inżynierii społecznej
Łańcuch ataków stosowanych przez cyberprzestępców z grupy Chaos rozpoczyna się od bezproblemowego rozsyłania spamu i szybko przechodzi w phishing głosowy (vishing). Cyberprzestępcy wykorzystują te techniki, aby nakłonić ofiary do zainstalowania oprogramowania do zdalnego pulpitu, w szczególności Microsoft Quick Assist, w celu uzyskania wstępnego dostępu.
Po włamaniu się do sieci, wdrażają arsenał narzędzi do zdalnego monitorowania i zarządzania (RMM), takich jak AnyDesk, ScreenConnect, OptiTune, Syncro RMM i Splashtop, aby zapewnić trwałą kontrolę nad zainfekowanymi sieciami. Działania podejmowane po włamaniu obejmują zbieranie danych uwierzytelniających, usuwanie dziennika zdarzeń programu PowerShell oraz usuwanie narzędzi bezpieczeństwa w celu osłabienia możliwości wykrywania i reagowania.
Polowanie na zwierzynę grubą i podwójne wymuszenia
Chaos przyjął strategię polowania na zwierzynę grubą, atakując cenne podmioty za pomocą podwójnych technik wymuszenia. Oznacza to nie tylko szyfrowanie plików, ale także groźby wycieku skradzionych danych, jeśli nie zostanie zapłacony okup. Grupa wykorzystuje GoodSync, legalne oprogramowanie do synchronizacji plików, do wykradania poufnych danych przed uruchomieniem ataku ransomware.
Ostatni etap polega na wdrożeniu wielowątkowego pliku binarnego ransomware, który jest w stanie szybko zaszyfrować zasoby lokalne i sieciowe. Aby dodatkowo utrudnić odzyskiwanie danych i uniknąć wykrycia, ransomware wykorzystuje zaawansowane taktyki anty-analityczne, w tym obronę przed maszynami wirtualnymi, narzędzia do debugowania, zautomatyzowane środowiska testowe i inne środowiska analizy zagrożeń.
Kompatybilność międzyplatformowa i wysokie okupy
Chaos ransomware jest wyjątkowo wszechstronny, z potwierdzoną kompatybilnością z systemami Windows, Linux, ESXi i NAS. Atakujący żądają wysokich okupów, zazwyczaj około 300 000 dolarów, w zamian za narzędzie deszyfrujące i rzekomy „szczegółowy przegląd penetracji”, obejmujący łańcuch ataku i zalecenia dotyczące bezpieczeństwa.
Większość znanych ofiar znajduje się w Stanach Zjednoczonych, co sprawia, że jest to główny region docelowy tego rozwijającego się zagrożenia.
Echa przeszłości: chaos i powiązania z BlackSuit
Choć Chaos to nowa nazwa, jego techniki i infrastruktura zdradzają wyraźne pochodzenie. Analitycy zauważyli silne powiązania z operacjami BlackSuit, w tym podobieństwa w:
- Polecenia szyfrowania
- Struktura i ton listów z żądaniem okupu
- Wykorzystanie identycznych narzędzi RMM
Jest to istotne, ponieważ sam BlackSuit był rebrandingiem firmy Royal, która wywodzi się ze słynnego syndykatu ransomware Conti. Zmieniające się tożsamości pokazują, jak ci aktorzy zagrożeń zmieniają markę i reorganizują się, aby wyprzedzić organy ścigania i utrzymać dynamikę operacyjną.
Operacja Checkmate: taktyczne zwycięstwo organów ścigania
Pojawienie się Chaosu zbiega się z ważnym zwycięstwem organów ścigania w rozbiciu infrastruktury darknetu BlackSuit. Odwiedzający przejęte strony widzą teraz stronę powitalną z komunikatem US Homeland Security Investigations, informującym o ich konfiskacie w ramach skoordynowanych działań międzynarodowych. Władze nie wydały jednak jeszcze oficjalnego oświadczenia w sprawie tej operacji.
Ostatnie przemyślenia: Chaos niesie ze sobą wyrafinowanie i oszustwo
Chaos to niebezpieczna mieszanka wyrafinowanej sztuki marketingowej i zwodniczego brandingu. Wykorzystanie legalnych narzędzi, ukierunkowanych ataków i strategii zapobiegania wykryciu czyni go poważnym zagrożeniem. Organizacje muszą zachować czujność i wzmocnić obronę nie tylko przed samym złośliwym oprogramowaniem, ale także przed taktykami socjotechnicznymi, które umożliwiają jego początkowy sukces.
