Rabattoffert för flera licenser
Hotdatabas Ransomware Chaos RaaS Hacker Group

Chaos RaaS Hacker Group

Med Mezo år Ransomware
Översätt till:

En nyligen uppkommen Ransomware-as-a-Service (RaaS)-operation kallad Chaos har intagit hotbilden och skapat larm inom cybersäkerhetsgemenskapen. Chaos observerades första gången i februari 2025 och verkar vara nära kopplat till tidigare medlemmar av BlackSuit-gruppen, en grupp vars dark web-infrastruktur nyligen demonterades av polisen under Operation Checkmate. Trots namnet är Chaos inte relaterat till tidigare Chaos ransomware-skapare som Yashma eller Lucky_Gh0$t, vilket avsiktligt lägger till ett lager av förvirring till ett redan komplext hot.

Kaosens taktik: Från skräppost till social ingenjörskonst

Attackkedjan som används av Chaos-aktörer börjar med lättanvänd spamflodning och eskalerar snabbt till röstfiske (vishing). Hotaktörer använder dessa tekniker för att lura mål att installera fjärrskrivbordsprogram, framför allt Microsoft Quick Assist, för att få initial åtkomst.

Väl inne i systemet använder de en arsenal av verktyg för fjärrövervakning och -hantering (RMM), såsom AnyDesk, ScreenConnect, OptiTune, Syncro RMM och Splashtop, för att etablera permanent kontroll över komprometterade nätverk. Åtgärder efter kompromettering inkluderar insamling av autentiseringsuppgifter, borttagning av PowerShell-händelseloggar och borttagning av säkerhetsverktyg för att försvaga detekterings- och responsfunktionerna.

Storviltsjakt och dubbel utpressning

Chaos har anammat en jaktstrategi för storvilt och riktar in sig på värdefulla enheter med dubbla utpressningstekniker. Detta innebär inte bara att kryptera filer utan också att hota med att läcka stulna data om inte en lösensumma betalas. Gruppen använder GoodSync, en legitim programvara för filsynkronisering, för att stjäla känsliga data innan ransomware-nyttolasten släpps.

Det sista steget innebär att man distribuerar en flertrådad ransomware-binärfil som kan kryptera både lokala och nätverksresurser snabbt. För att ytterligare försvåra återställningsarbetet och undvika upptäckt använder ransomware avancerade antianalystaktik, inklusive försvar mot virtuella maskiner, felsökningsverktyg, automatiserade sandlådor och andra hotanalysmiljöer.

Plattformsoberoende kompatibilitet och rejäla lösensummor

Chaos ransomware är särskilt mångsidigt, med bekräftad kompatibilitet mellan Windows, Linux, ESXi och NAS-system. Angriparna kräver höga lösensummor, vanligtvis runt 300 000 dollar, i utbyte mot ett dekrypteringsverktyg och en förmodad "detaljerad penetrationsöversikt" som inkluderar attackkedjan och säkerhetsrekommendationer.

De flesta av de kända offren är baserade i USA, vilket gör det till en primär målregion för detta ständigt växande hot.

Ekon från det förflutna: Kaos och BlackSuit-kopplingen

Även om Chaos är ett nytt namn, avslöjar dess tekniker och infrastruktur en tydlig härkomst. Analytiker har noterat starka överlappningar med BlackSuit-verksamheter, inklusive likheter i:

  • Krypteringskommandon
  • Struktur och ton i lösensummor
  • Användning av identiska RMM-verktyg

Detta är betydelsefullt eftersom BlackSuit i sig var en omprofilering av Royal, som härstammar från det ökända Conti ransomware-syndikatet. De skiftande identiteterna visar hur dessa hotaktörer omprofilerar och omorganiserar sig för att ligga steget före brottsbekämpande myndigheter och bibehålla operativ momentum.

Operation Schackmatt: En taktisk seger för brottsbekämpande myndigheter

Framväxten av Chaos sammanfaller med en stor seger för brottsbekämpande myndigheter i nedmonteringen av BlackSuits dark web-infrastruktur. Besökare på deras beslagtagna webbplatser möts nu av en startsida från US Homeland Security Investigations, som förklarar att webbplatserna har beslagtagits som en del av en samordnad internationell insats. Myndigheterna har dock ännu inte släppt ett officiellt uttalande om operationen.

Sluttankar: Kaos medför sofistikering och bedrägeri

Kaos representerar en farlig blandning av sofistikerat hantverk och vilseledande varumärkesbyggande. Dess användning av legitima verktyg, riktade attacker och anti-detekteringsstrategier gör det till ett betydande hot. Organisationer måste vara vaksamma och stärka sitt försvar, inte bara mot själva skadliga programmen utan även mot de sociala ingenjörskonsttaktikerna som möjliggör dess initiala framgång.

Trendigt

Mest sedda

Läser in...