Хаос РааС хакерска група
Новопојављена операција „Ransomware-as-a-Service“ (RaaS) под називом „Chaos“ ушла је на тржиште претњи, изазивајући узбуну у заједници за сајбер безбедност. Први пут примећен у фебруару 2025. године, „Chaos“ изгледа да је уско повезан са бившим члановима екипе „BlackSuit“, групе чију је инфраструктуру дарк веба недавно демонтирала полиција током операције „Checkmate“. Упркос свом имену, „Chaos“ није повезан са претходним креаторима „Chaos ransomware“-а попут „Yashma“ или „Lucky_Gh0$t“, што намерно додаје слој забуне већ сложеној претњи.
Преглед садржаја
Тактике хаоса: Од спама до социјалног инжењеринга
Ланац напада који користе актери Хаоса почиње са поплавом спамом уз мали напор и брзо ескалира до гласовног фишинга (вишинга). Актери претњи користе ове технике да преваре мете да инсталирају софтвер за удаљену радну површину, посебно Мајкрософт Квик Асист, како би добили почетни приступ.
Једном унутра, они користе арсенал алата за даљинско праћење и управљање (RMM), као што су AnyDesk, ScreenConnect, OptiTune, Syncro RMM и Splashtop, како би успоставили трајну контролу над угроженим мрежама. Акције након угрожавања укључују прикупљање акредитива, брисање дневника догађаја PowerShell-а и уклањање безбедносних алата како би се ослабиле могућности детекције и реаговања.
Лов на крупну дивљач и двострука изнуда
Хаос је усвојио стратегију лова на крупну дивљач, циљајући ентитете високе вредности техникама двоструке изнуде. То значи не само шифровање датотека већ и претње цурењем украдених података уколико се не плати откупнина. Група користи GoodSync, легитиман софтвер за синхронизацију датотека, како би издвојила осетљиве податке пре него што покрене ransomware програм.
Завршна фаза укључује постављање вишенитног бинарног програма ransomware који је способан да брзо шифрује и локалне и мрежне ресурсе. Да би додатно осујетио напоре за опоравак и избегао откривање, ransomware користи напредне тактике анти-аналитике, укључујући одбрану од виртуелних машина, алате за отклањање грешака, аутоматизоване „пешчанике“ и друга окружења за анализу претњи.
Компатибилност са више платформи и велике откупнине
Chaos ransomware је изузетно свестран, са потврђеном компатибилношћу са Windows, Linux, ESXi и NAS системима. Нападачи захтевају високе откупнине, обично око 300.000 долара, у замену за алат за дешифровање и наводни „детаљан преглед пенетрације“ који укључује ланац напада и безбедносне препоруке.
Већина познатих жртава налази се у Сједињеним Државама, што их чини примарним циљним регионом за ову еволуирајућу претњу.
Одјеци прошлости: Хаос и веза са црним оделом
Иако је Хаос ново име, његове технике и инфраструктура откривају јасно порекло. Аналитичари су приметили јака преклапања са операцијама БлекСуит-а, укључујући сличности у:
- Команде за шифровање
- Структура и тон порука о откупнини
- Употреба идентичних алата за управљање ризиком (RMM)
Ово је значајно јер је сам BlackSuit био ребрендирање компаније Royal, која је потекла од озлоглашеног синдиката рансомвера Conti. Промена идентитета показује како се ови актери претње ребрендирају и реорганизују како би остали испред органа реда и одржали оперативни замах.
Операција Шах-мат: Тактичка победа за спровођење закона
Појава Хаоса поклапа се са великом победом органа за спровођење закона у уклањању инфраструктуре дарк веба компаније BlackSuit. Посетиоци заплењених сајтова сада наилазе на уводну страницу истраге америчке службе за безбедност домовине, у којој се наводи да су сајтови конфисковани као део координисаног међународног напора. Међутим, власти још увек нису објавиле званично саопштење у вези са операцијом.
Завршне мисли: Хаос доноси софистицираност и обману
Хаос представља опасну мешавину софистицираног занатства и обмањујућег брендирања. Његова употреба легитимних алата, циљаних напада и стратегија против откривања чини га значајном претњом. Организације морају остати будне и јачати одбрану не само од самог злонамерног софтвера већ и од тактика социјалног инжењеринга које омогућавају његов почетни успех.
