Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Ransomware Grupul de hackeri Chaos RaaS

Grupul de hackeri Chaos RaaS

Până în Mezo în Ransomware
Tradu in:

O operațiune Ransomware-as-a-Service (RaaS) recent apărută, numită Chaos, a intrat în peisajul amenințărilor, stârnind alarme în comunitatea de securitate cibernetică. Observată pentru prima dată în februarie 2025, Chaos pare a fi strâns legată de foști membri ai echipajului BlackSuit, un grup a cărui infrastructură dark web a fost recent demontată de forțele de ordine în timpul Operațiunii Checkmate. În ciuda numelui său, Chaos nu are nicio legătură cu foștii constructori de ransomware Chaos, precum Yashma sau Lucky_Gh0$t, adăugând un strat deliberat de confuzie unei amenințări deja complexe.

Tacticile haosului: de la spam la inginerie socială

Lanțul de atac folosit de actorii din Haos începe cu o inundație de spam cu efort redus și escaladează rapid în phishing vocal (vishing). Actorii amenințători folosesc aceste tehnici pentru a păcăli țintele să instaleze software desktop la distanță, în special Microsoft Quick Assist, pentru a obține acces inițial.

Odată ajunși în interior, aceștia implementează un arsenal de instrumente de monitorizare și gestionare la distanță (RMM), cum ar fi AnyDesk, ScreenConnect, OptiTune, Syncro RMM și Splashtop, pentru a stabili un control persistent asupra rețelelor compromise. Acțiunile post-compromis includ colectarea credențialelor, ștergerea jurnalului de evenimente PowerShell și eliminarea instrumentelor de securitate pentru a slăbi capacitățile de detectare și răspuns.

Vânătoarea de vânat mare și dubla extorcare

Chaos a adoptat o strategie de vânătoare de animale mari, vizând entități de mare valoare cu tehnici duble de extorcare. Aceasta înseamnă nu doar criptarea fișierelor, ci și amenințarea cu scurgerea datelor furate dacă nu se plătește o răscumpărare. Grupul utilizează GoodSync, un software legitim de sincronizare a fișierelor, pentru a exfiltra datele sensibile înainte de a lansa sarcina ransomware.

Etapa finală implică implementarea unui fișier binar ransomware multi-threaded capabil să cripteze rapid atât resursele locale, cât și pe cele de rețea. Pentru a frustra și mai mult eforturile de recuperare și a evita detectarea, ransomware-ul folosește tactici avansate anti-analiză, inclusiv apărări împotriva mașinilor virtuale, instrumente de depanare, sandbox-uri automate și alte medii de analiză a amenințărilor.

Compatibilitate între platforme și răscumpărări substanțiale

Ransomware-ul Chaos este remarcabil de versatil, cu compatibilitate confirmată între sistemele Windows, Linux, ESXi și NAS. Atacatorii cer răscumpărări mari, de obicei în jur de 300.000 de dolari, în schimbul unui instrument de decriptare și al unei presupuse „prezentări detaliate a penetrării” care include lanțul de atac și recomandări de securitate.

Majoritatea victimelor cunoscute se află în Statele Unite, ceea ce o face o regiune țintă principală pentru această amenințare în evoluție.

Ecouri ale trecutului: Haosul și conexiunea BlackSuit

Deși Chaos este un nume nou, tehnicile și infrastructura sa dezvăluie o linie clară. Analiștii au observat suprapuneri puternice cu operațiunile BlackSuit, inclusiv asemănări în:

  • Comenzi de criptare
  • Structura și tonul notelor de răscumpărare
  • Utilizarea unor instrumente RMM identice

Acest lucru este semnificativ deoarece BlackSuit în sine a fost o rebranding a Royal, care a provenit din infamul sindicat de ransomware Conti. Identitățile schimbătoare arată cum acești actori amenințători își rebranduiesc imaginea și se reorganizează pentru a rămâne cu un pas înaintea forțelor de ordine și pentru a menține impulsul operațional.

Operațiunea Șah-mat: O victorie tactică pentru forțele de ordine

Apariția Haosului coincide cu o victorie majoră a forțelor de ordine în eliminarea infrastructurii dark web a BlackSuit. Vizitatorii site-urilor lor confiscate dau acum peste o pagină de pornire de la US Homeland Security Investigations, care declară că site-urile au fost confiscate ca parte a unui efort internațional coordonat. Cu toate acestea, autoritățile nu au publicat încă o declarație oficială cu privire la operațiune.

Gânduri finale: Haosul aduce sofisticare și înșelăciune

Haosul reprezintă o combinație periculoasă de tehnici comerciale sofisticate și branding înșelător. Utilizarea instrumentelor legitime, a atacurilor direcționate și a strategiilor anti-detecție îl transformă într-o amenințare semnificativă. Organizațiile trebuie să rămână vigilente și să își consolideze apărarea nu numai împotriva programelor malware în sine, ci și împotriva tacticilor de inginerie socială care îi permit succesul inițial.

Trending

Cele mai văzute

Se încarcă...