Хакерская группа Chaos RaaS
Недавно появившаяся операция Chaos, основанная на принципах программы-вымогателя как услуги (RaaS), вышла на новый уровень угроз, вызвав тревогу в сообществе кибербезопасности. Впервые обнаруженная в феврале 2025 года, Chaos, по-видимому, тесно связана с бывшими членами банды BlackSuit, чья инфраструктура в даркнете была недавно ликвидирована правоохранительными органами в ходе операции «Шахмат». Несмотря на название, Chaos не связан с предыдущими разработчиками программ-вымогателей Chaos, такими как Yashma или Lucky_Gh0$t, что намеренно добавляет путаницы в и без того сложную угрозу.
Оглавление
Тактика хаоса: от спама до социальной инженерии
Цепочка атак, применяемая злоумышленниками Chaos, начинается с лёгкой спам-рассылки и быстро перерастает в голосовой фишинг (вишинг). Злоумышленники используют эти техники, чтобы заставить жертву установить программное обеспечение для удалённого рабочего стола, в частности Microsoft Quick Assist, для получения первоначального доступа.
Проникнув внутрь, они используют целый арсенал инструментов удалённого мониторинга и управления (RMM), таких как AnyDesk, ScreenConnect, OptiTune, Syncro RMM и Splashtop, для установления постоянного контроля над скомпрометированными сетями. Действия после компрометации включают сбор учётных данных, удаление журнала событий PowerShell и удаление средств безопасности для ослабления возможностей обнаружения и реагирования.
Охота на крупную дичь и двойное вымогательство
Хаос применил стратегию охоты на крупную дичь, атакуя ценные организации с помощью двойного вымогательства. Это означает не только шифрование файлов, но и угрозу утечки украденных данных в случае выплаты выкупа. Группировка использует GoodSync, легальное программное обеспечение для синхронизации файлов, для извлечения конфиденциальных данных перед запуском вредоносного ПО-вымогателя.
Заключительный этап включает в себя развертывание многопоточного двоичного файла программы-вымогателя, способного быстро шифровать как локальные, так и сетевые ресурсы. Чтобы ещё больше затруднить восстановление и избежать обнаружения, программа-вымогатель использует продвинутые методы противодействия анализу, включая защиту от виртуальных машин, инструменты отладки, автоматизированные песочницы и другие среды анализа угроз.
Кроссплатформенная совместимость и огромные выкупы
Программа-вымогатель Chaos отличается особой универсальностью: её совместимость с Windows, Linux, ESXi и NAS-системами подтверждена. Злоумышленники требуют солидный выкуп, обычно около 300 000 долларов, в обмен на инструмент дешифрования и якобы «подробный обзор проникновения», включающий цепочку атаки и рекомендации по безопасности.
Большинство известных жертв находятся в Соединенных Штатах, что делает этот регион основным объектом этой развивающейся угрозы.
Отголоски прошлого: Хаос и связь с BlackSuit
Хотя Chaos — новое название, его методы и инфраструктура явно демонстрируют родство. Аналитики отмечают значительные совпадения с операциями BlackSuit, включая сходство в:
- Команды шифрования
- Структура и тон записок о выкупе
- Использование идентичных инструментов RMM
Это важно, поскольку сама BlackSuit была ребрендингом Royal, произошедшего от печально известного синдиката Conti, занимающегося распространением вирусов-вымогателей. Смена названий показывает, как эти злоумышленники меняют свой имидж и реорганизуются, чтобы опережать правоохранительные органы и поддерживать оперативный импульс.
Операция «Шах и мат»: тактическая победа правоохранительных органов
Появление Chaos совпало с крупной победой правоохранительных органов в ликвидации инфраструктуры даркнета BlackSuit. Посетители конфискованных сайтов теперь видят заставку от Службы расследований Министерства внутренней безопасности США, объявляющую, что сайты были конфискованы в рамках скоординированных международных усилий. Однако власти пока не опубликовали официального заявления по поводу этой операции.
Заключительные мысли: Хаос приносит изощренность и обман
Хаос представляет собой опасное сочетание изощрённых методов и обманчивого брендинга. Использование легитимных инструментов, целенаправленных атак и стратегий защиты от обнаружения делает его серьёзной угрозой. Организациям необходимо сохранять бдительность и укреплять защиту не только от самого вредоносного ПО, но и от методов социальной инженерии, которые обеспечивают его первоначальный успех.
