Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ransomware Grupo de hackers Chaos RaaS

Grupo de hackers Chaos RaaS

Por Mezo em Ransomware
Traduzir Para:

Uma operação de Ransomware como Serviço (RaaS) recém-surgida, chamada Chaos, entrou no cenário de ameaças, gerando alarme na comunidade de segurança cibernética. Observada pela primeira vez em fevereiro de 2025, a Chaos parece estar intimamente ligada a ex-membros da equipe BlackSuit, um grupo cuja infraestrutura da dark web foi recentemente desmantelada pelas autoridades policiais durante a Operação Checkmate. Apesar do nome, a Chaos não está relacionada a criadores anteriores de ransomware Chaos, como Yashma ou Lucky_Gh0$t, adicionando uma camada deliberada de confusão a uma ameaça já complexa.

Táticas do Caos: Do Spam à Engenharia Social

A cadeia de ataque empregada pelos agentes do Chaos começa com uma inundação de spam de baixo esforço e rapidamente evolui para phishing de voz (vishing). Os agentes de ameaças usam essas técnicas para induzir os alvos a instalar softwares de desktop remoto, principalmente o Microsoft Quick Assist, para obter acesso inicial.

Uma vez dentro, eles implementam um arsenal de ferramentas de monitoramento e gerenciamento remoto (RMM), como AnyDesk, ScreenConnect, OptiTune, Syncro RMM e Splashtop, para estabelecer controle persistente sobre as redes comprometidas. As ações pós-comprometimento incluem coleta de credenciais, exclusão de logs de eventos do PowerShell e remoção de ferramentas de segurança para enfraquecer as capacidades de detecção e resposta.

Caça de animais de grande porte e dupla extorsão

O Chaos adotou uma estratégia de caça de animais de grande porte, visando entidades de alto valor com técnicas de dupla extorsão. Isso significa não apenas criptografar arquivos, mas também ameaçar vazar dados roubados, a menos que um resgate seja pago. O grupo utiliza o GoodSync, um software legítimo de sincronização de arquivos, para exfiltrar dados confidenciais antes de lançar o ransomware.

A etapa final envolve a implantação de um binário de ransomware multithread capaz de criptografar rapidamente recursos locais e de rede. Para frustrar ainda mais os esforços de recuperação e evitar a detecção, o ransomware emprega táticas avançadas de antianálise, incluindo defesas contra máquinas virtuais, ferramentas de depuração, sandboxes automatizadas e outros ambientes de análise de ameaças.

Compatibilidade entre plataformas e resgates altos

O ransomware Chaos é notavelmente versátil, com compatibilidade confirmada em sistemas Windows, Linux, ESXi e NAS. Os invasores exigem resgates exorbitantes, geralmente em torno de US$ 300.000, em troca de uma ferramenta de descriptografia e uma suposta "visão geral detalhada da penetração", que inclui a cadeia de ataque e recomendações de segurança.

A maioria das vítimas conhecidas está nos Estados Unidos, tornando-os uma região-alvo primária para essa ameaça em evolução.

Ecos do Passado: Caos e a Conexão BlackSuit

Embora o nome Chaos seja novo, suas técnicas e infraestrutura revelam uma linhagem clara. Analistas notaram fortes sobreposições com as operações da BlackSuit, incluindo semelhanças em:

  • Comandos de criptografia
  • Estrutura e tom das notas de resgate
  • Uso de ferramentas RMM idênticas

Isso é significativo porque o próprio BlackSuit foi uma reformulação da marca Royal, que descende do infame sindicato de ransomware Conti. As mudanças de identidade mostram como esses agentes de ameaças se reformulam e se reorganizam para se manter à frente das autoridades e manter o ritmo operacional.

Operação Xeque-Mate: Uma Vitória Tática para a Aplicação da Lei

O surgimento do Chaos coincide com uma importante vitória policial na derrubada da infraestrutura da dark web da BlackSuit. Os visitantes dos sites apreendidos agora encontram uma página inicial do Departamento de Investigações de Segurança Interna dos EUA (DHS), declarando que os sites foram confiscados como parte de um esforço internacional coordenado. No entanto, as autoridades ainda não divulgaram um comunicado oficial sobre a operação.

Considerações finais: o caos traz sofisticação e decepção

O Chaos representa uma mistura perigosa de técnicas sofisticadas e branding enganoso. O uso de ferramentas legítimas, ataques direcionados e estratégias antidetecção o torna uma ameaça significativa. As organizações devem permanecer vigilantes e reforçar as defesas não apenas contra o malware em si, mas também contra as táticas de engenharia social que possibilitam seu sucesso inicial.

Tendendo

Mais visto

Carregando...