Multilicenčná zľavová ponuka
Databáza hrozieb Ransomware Skupina hackerov Chaos RaaS

Skupina hackerov Chaos RaaS

Do roku Mezo v roku Ransomware
Preložiť do:

Novovzniknutá operácia ransomvéru ako služby (RaaS) s názvom Chaos vstúpila na scénu hrozieb a vyvolala poplach v komunite kybernetickej bezpečnosti. Prvýkrát pozorovaná vo februári 2025, Chaos sa zdá byť úzko prepojená s bývalými členmi skupiny BlackSuit, ktorej infraštruktúra dark webu bola nedávno demontovaná orgánmi činnými v trestnom konaní počas operácie Checkmate. Napriek svojmu názvu Chaos nesúvisí s predchádzajúcimi tvorcami ransomvéru Chaos, ako sú Yashma alebo Lucky_Gh0$t, čo k už aj tak komplexnej hrozbe zámerne pridáva vrstvu zmätku.

Taktiky chaosu: Od spamu k sociálnemu inžinierstvu

Útočný reťazec, ktorý používajú aktéri Chaos, začína nenáročným zahltením spamom a rýchlo eskaluje do hlasového phishingu (vishing). Aktéri hrozby používajú tieto techniky na oklamanie cieľov, aby si nainštalovali softvér na vzdialenú pracovnú plochu, najmä Microsoft Quick Assist, a získali tak počiatočný prístup.

Po vniknutí do siete nasadia celý rad nástrojov na vzdialené monitorovanie a správu (RMM), ako napríklad AnyDesk, ScreenConnect, OptiTune, Syncro RMM a Splashtop, aby zabezpečili trvalú kontrolu nad napadnutými sieťami. Medzi akcie po napadnutí patrí zhromažďovanie poverení, vymazanie protokolu udalostí PowerShellu a odstránenie bezpečnostných nástrojov na oslabenie detekčných a reakčných schopností.

Lov veľkej zveri a dvojité vydieranie

Chaos prijal stratégiu lovu veľkej zveri, pričom sa zameriava na hodnotné subjekty pomocou techník dvojitého vydierania. To znamená nielen šifrovanie súborov, ale aj vyhrážanie sa únikom ukradnutých údajov, ak nebude zaplatené výkupné. Skupina využíva GoodSync, legitímny softvér na synchronizáciu súborov, na exfiltráciu citlivých údajov pred spustením ransomvéru.

Záverečná fáza zahŕňa nasadenie viacvláknového binárneho súboru ransomvéru, ktorý je schopný rýchlo šifrovať lokálne aj sieťové zdroje. Aby sa ešte viac zmarili snahy o obnovu a vyhol sa odhaleniu, ransomvér využíva pokročilé antianalytické taktiky vrátane obrany proti virtuálnym počítačom, ladiacim nástrojom, automatizovaným sandboxom a ďalším prostrediam na analýzu hrozieb.

Kompatibilita medzi platformami a vysoké výkupné

Ransomvér Chaos je pozoruhodne všestranný s potvrdenou kompatibilitou so systémami Windows, Linux, ESXi a NAS. Útočníci požadujú vysoké výkupné, zvyčajne okolo 300 000 dolárov, výmenou za dešifrovací nástroj a údajný „podrobný prehľad o prieniku“, ktorý zahŕňa reťazec útoku a bezpečnostné odporúčania.

Väčšina známych obetí má sídlo v Spojených štátoch, čo z nich robí primárny cieľový región pre túto vyvíjajúcu sa hrozbu.

Ozveny minulosti: Chaos a spojenie s BlackSuit

Hoci je Chaos nové meno, jeho techniky a infraštruktúra odhaľujú jasnú líniu. Analytici zaznamenali silné prekrývanie s operáciami BlackSuit, vrátane podobností v:

  • Šifrovacie príkazy
  • Štruktúra a tón výkupných listov
  • Použitie identických nástrojov RMM

Toto je dôležité, pretože samotný BlackSuit bol premenovaním značky Royal, ktorá pochádzala z neslávne známeho syndikátu ransomvéru Conti. Meniace sa identity ukazujú, ako títo aktéri hrozieb premenujú značky a reorganizujú sa, aby si udržali náskok pred orgánmi činnými v trestnom konaní a udržali si operačnú dynamiku.

Operácia Šachmat: Taktické víťazstvo pre orgány činné v trestnom konaní

Vznik Chaosu sa zhoduje s významným víťazstvom orgánov činných v trestnom konaní pri likvidácii infraštruktúry dark webu spoločnosti BlackSuit. Návštevníci zabavených stránok teraz narazia na úvodnú stránku z vyšetrovania americkej ministerstva vnútornej bezpečnosti, v ktorej sa uvádza, že stránky boli skonfiškované v rámci koordinovaného medzinárodného úsilia. Úrady však zatiaľ nevydali oficiálne vyhlásenie týkajúce sa tejto operácie.

Záverečné myšlienky: Chaos prináša sofistikovanosť a klam

Chaos predstavuje nebezpečnú zmes sofistikovaného remesla a klamlivého brandingu. Používanie legitímnych nástrojov, cielených útokov a stratégií proti detekcii z neho robí významnú hrozbu. Organizácie musia zostať ostražití a posilniť obranu nielen proti samotnému malvéru, ale aj proti taktikám sociálneho inžinierstva, ktoré umožňujú jeho počiatočný úspech.

Trendy

Najviac videné

Načítava...