Chaos RaaS Hacker Group
Ang isang bagong umusbong na operasyon ng Ransomware-as-a-Service (RaaS) na tinatawag na Chaos ay pumasok sa landscape ng pagbabanta, na nagpapataas ng mga alarma sa loob ng komunidad ng cybersecurity. Unang naobserbahan noong Pebrero 2025, mukhang malapit na nauugnay ang Chaos sa mga dating miyembro ng BlackSuit crew, isang grupo na ang imprastraktura ng dark web ay na-dismantle kamakailan ng nagpapatupad ng batas sa panahon ng Operation Checkmate. Sa kabila ng pangalan nito, walang kaugnayan ang Chaos sa mga dating tagabuo ng Chaos ransomware tulad ng Yashma o Lucky_Gh0$t, na nagdaragdag ng sinadyang layer ng pagkalito sa isang kumplikadong banta.
Talaan ng mga Nilalaman
Mga Taktika ng Chaos: Mula sa Spam hanggang Social Engineering
Ang attack chain na ginagamit ng Chaos actors ay nagsisimula sa low-effort spam flooding at mabilis na nauuwi sa voice phishing (vishing). Ginagamit ng mga banta ng aktor ang mga diskarteng ito para linlangin ang mga target sa pag-install ng malayuang desktop software, lalo na sa Microsoft Quick Assist, upang makakuha ng paunang access.
Kapag nasa loob na, nag-deploy sila ng arsenal ng remote monitoring and management (RMM) na mga tool, tulad ng AnyDesk, ScreenConnect, OptiTune, Syncro RMM, at Splashtop, upang magtatag ng patuloy na kontrol sa mga nakompromisong network. Kasama sa mga pagkilos pagkatapos ng kompromiso ang pag-aani ng kredensyal, pagtanggal ng log ng kaganapan ng PowerShell, at pag-aalis ng mga tool sa seguridad upang pahinain ang mga kakayahan sa pagtuklas at pagtugon.
Big-Game Hunting at Double Extortion
Ang Chaos ay nagpatibay ng isang malaking laro na diskarte sa pangangaso, na nagta-target sa mga entity na may mataas na halaga na may mga diskarte sa dobleng pangingikil. Nangangahulugan ito hindi lamang sa pag-encrypt ng mga file ngunit pagbabanta din na mag-leak ng ninakaw na data maliban kung binabayaran ang isang ransom. Ang grupo ay gumagamit ng GoodSync, isang lehitimong file-syncing software, upang i-exfiltrate ang sensitibong data bago ilunsad ang ransomware payload.
Ang huling yugto ay nagsasangkot ng pag-deploy ng isang multi-threaded ransomware binary na may kakayahang mabilis na i-encrypt ang parehong lokal at mga mapagkukunan ng network. Para lalo pang mabigo ang mga pagsisikap sa pagbawi at maiwasan ang pagtuklas, ang ransomware ay gumagamit ng mga advanced na anti-analysis na taktika, kabilang ang mga depensa laban sa mga virtual machine, mga tool sa pag-debug, mga automated na sandbox, at iba pang kapaligiran sa pagsusuri ng pagbabanta.
Cross-Platform Compatibility at Hefty Ransoms
Ang Chaos ransomware ay kapansin-pansing versatile, na may kumpirmadong compatibility sa buong Windows, Linux, ESXi, at NAS system. Ang mga umaatake ay humihingi ng matatarik na ransom, karaniwang humigit-kumulang $300,000, kapalit ng isang tool sa pag-decryption at isang dapat na 'detalyadong pangkalahatang-ideya ng penetration' na kinabibilangan ng chain ng pag-atake at mga rekomendasyon sa seguridad.
Karamihan sa mga kilalang biktima ay nakabase sa United States, na ginagawa itong pangunahing target na rehiyon para sa umuusbong na banta na ito.
Echoes of the Past: Chaos and the BlackSuit Connection
Habang ang Chaos ay isang bagong pangalan, ang mga diskarte at imprastraktura nito ay nagpapakita ng isang malinaw na linya. Napansin ng mga analyst ang matinding overlaps sa mga operasyon ng BlackSuit, kabilang ang mga pagkakatulad sa:
- Mga utos sa pag-encrypt
- Istraktura at tono ng ransom notes
- Paggamit ng magkatulad na mga tool sa RMM
Mahalaga ito dahil ang BlackSuit mismo ay isang rebranding ng Royal, na nagmula sa kilalang sindikato ng Conti ransomware. Ipinapakita ng mga nagbabagong pagkakakilanlan kung paano nagre-rebrand at muling nag-aayos ang mga banta na aktor na ito upang manatiling nangunguna sa pagpapatupad ng batas at mapanatili ang momentum ng pagpapatakbo.
Operation Checkmate: Isang Taktikal na Panalo para sa Pagpapatupad ng Batas
Ang paglitaw ng Chaos ay kasabay ng isang malaking tagumpay sa pagpapatupad ng batas sa pagtanggal ng dark web infrastructure ng BlackSuit. Ang mga bisita sa kanilang mga nasamsam na site ay nakatagpo na ngayon ng isang splash page mula sa US Homeland Security Investigations, na nagdedeklara na ang mga site ay kinumpiska bilang bahagi ng isang coordinated na internasyonal na pagsisikap. Gayunpaman, wala pang opisyal na pahayag ang mga awtoridad hinggil sa operasyon.
Mga Pangwakas na Kaisipan: Nagdudulot ng Sopistikado at Panlilinlang ang Chaos
Ang kaguluhan ay kumakatawan sa isang mapanganib na kumbinasyon ng sopistikadong tradecraft at mapanlinlang na pagba-brand. Ang paggamit nito ng mga lehitimong tool, naka-target na pag-atake, at mga diskarte sa anti-detection ay ginagawa itong isang malaking banta. Ang mga organisasyon ay dapat manatiling mapagbantay at palakasin ang mga depensa laban hindi lamang sa malware mismo kundi sa mga taktika ng social engineering na nagbibigay-daan sa paunang tagumpay nito.
