Skupina hekerjev Chaos RaaS
Na trg groženj je vstopila nova operacija izsiljevalske programske opreme kot storitve (RaaS), imenovana Chaos, ki je v skupnosti za kibernetsko varnost sprožila zaskrbljenost. Prvič opažena februarja 2025, je očitno tesno povezana z nekdanjimi člani skupine BlackSuit, katere infrastrukturo temnega spleta so organi pregona nedavno razbili med operacijo Checkmate. Kljub svojemu imenu Chaos ni povezan s prejšnjimi graditelji izsiljevalske programske opreme Chaos, kot sta Yashma ali Lucky_Gh0$t, kar namerno dodaja plast zmede že tako zapleteni grožnji.
Kazalo
Taktike kaosa: od neželene pošte do socialnega inženiringa
Veriga napadov, ki jo uporabljajo akterji Chaos, se začne z nizkonapornim poplavljanjem neželene pošte in se hitro stopnjuje v glasovno lažno predstavljanje (vishing). Akterji grožnje uporabljajo te tehnike, da tarče zavedejo v namestitev programske opreme za oddaljeno namizje, predvsem Microsoft Quick Assist, da bi pridobili začetni dostop.
Ko so enkrat v notranjosti, uporabijo arzenal orodij za oddaljeno spremljanje in upravljanje (RMM), kot so AnyDesk, ScreenConnect, OptiTune, Syncro RMM in Splashtop, da vzpostavijo trajen nadzor nad ogroženimi omrežji. Ukrepi po ogroženju vključujejo zbiranje poverilnic, brisanje dnevnika dogodkov PowerShell in odstranitev varnostnih orodij za oslabitev zmogljivosti zaznavanja in odzivanja.
Lov na veliko divjad in dvojno izsiljevanje
Chaos je sprejel strategijo lova na veliko divjad, pri čemer cilja na dragocene subjekte z dvojnimi izsiljevalskimi tehnikami. To pomeni ne le šifriranje datotek, temveč tudi grožnje z razkritjem ukradenih podatkov, če ni plačana odkupnina. Skupina uporablja GoodSync, legitimno programsko opremo za sinhronizacijo datotek, za izkrcanje občutljivih podatkov pred uporabo izsiljevalske programske opreme.
Zadnja faza vključuje namestitev večnitne binarne datoteke izsiljevalske programske opreme, ki je sposobna hitro šifrirati tako lokalne kot omrežne vire. Da bi še dodatno otežila prizadevanja za obnovitev in se izognila odkrivanju, izsiljevalska programska oprema uporablja napredne taktike proti analizi, vključno z obrambo pred virtualnimi stroji, orodji za odpravljanje napak, avtomatiziranimi peskovniki in drugimi okolji za analizo groženj.
Združljivost med platformami in visoke odkupnine
Izsiljevalska programska oprema Chaos je izjemno vsestranska, s potrjeno združljivostjo s sistemi Windows, Linux, ESXi in NAS. Napadalci zahtevajo visoke odkupnine, običajno okoli 300.000 dolarjev, v zameno za orodje za dešifriranje in domnevni "podroben pregled vdora", ki vključuje verigo napadov in varnostna priporočila.
Večina znanih žrtev ima sedež v Združenih državah Amerike, zaradi česar so te države glavna ciljna regija za to razvijajočo se grožnjo.
Odmevi preteklosti: Kaos in povezava s BlackSuitom
Čeprav je Chaos novo ime, njegove tehnike in infrastruktura razkrivajo jasno poreklo. Analitiki so opazili močno prekrivanje z operacijami BlackSuit, vključno s podobnostmi v:
- Ukazi za šifriranje
- Struktura in ton odkupninskih sporočil
- Uporaba enakih orodij za upravljanje tveganj (RMM)
To je pomembno, ker je bil BlackSuit sam po sebi preimenovanje podjetja Royal, ki je nastalo iz zloglasnega sindikata izsiljevalske programske opreme Conti. Spreminjajoče se identitete kažejo, kako se ti akterji groženj preimenujejo in reorganizirajo, da bi ostali pred organi pregona in ohranili operativni zagon.
Operacija Šah-mat: Taktična zmaga organov pregona
Pojav Chaosa sovpada z veliko zmago organov pregona pri uničenju infrastrukture temnega spleta podjetja BlackSuit. Obiskovalci zaseženih spletnih mest zdaj naletijo na uvodno stran preiskav ameriške službe za domovinsko varnost, v kateri je navedeno, da so bila spletna mesta zasežena v okviru usklajenih mednarodnih prizadevanj. Vendar oblasti še niso objavile uradne izjave glede operacije.
Zaključne misli: Kaos prinaša prefinjenost in prevaro
Kaos predstavlja nevarno mešanico sofisticirane trgovine in zavajajočega blagovnega znamkanja. Uporaba legitimnih orodij, ciljno usmerjenih napadov in strategij proti zaznavanju ga naredi pomembno grožnjo. Organizacije morajo ostati pozorne in okrepiti obrambo ne le pred samo zlonamerno programsko opremo, temveč tudi pred taktikami socialnega inženiringa, ki omogočajo njen začetni uspeh.
