Chaos RaaS Hacker Grubu
Yeni ortaya çıkan bir Hizmet Olarak Fidye Yazılımı (RaaS) operasyonu olan Chaos, siber güvenlik camiasında endişelere yol açarak tehdit ortamına girdi. İlk olarak Şubat 2025'te gözlemlenen Chaos, karanlık ağ altyapısı yakın zamanda Şah Mat Operasyonu sırasında kolluk kuvvetleri tarafından dağıtılan bir grup olan BlackSuit ekibinin eski üyeleriyle yakından bağlantılı görünüyor. Adına rağmen, Chaos'un Yashma veya Lucky_Gh0$t gibi önceki Chaos fidye yazılımı geliştiricileriyle bir bağlantısı yok ve bu da zaten karmaşık olan bir tehdide kasıtlı olarak daha fazla kafa karışıklığı yaratıyor.
İçindekiler
Kaos Taktikleri: Spam’den Sosyal Mühendisliğe
Kaos aktörlerinin kullandığı saldırı zinciri, düşük çaba gerektiren spam bombardımanıyla başlar ve hızla sesli kimlik avına (vishing) dönüşür. Tehdit aktörleri, hedefleri ilk erişimi elde etmek için uzak masaüstü yazılımlarını (özellikle Microsoft Quick Assist) yüklemeye kandırmak amacıyla bu teknikleri kullanır.
İçeri girdiklerinde, AnyDesk, ScreenConnect, OptiTune, Syncro RMM ve Splashtop gibi bir dizi uzaktan izleme ve yönetim (RMM) aracını devreye sokarak, tehlikeye atılmış ağlar üzerinde kalıcı kontrol sağlarlar. Tehlikeye atıldıktan sonra gerçekleştirilen eylemler arasında kimlik bilgisi toplama, PowerShell olay günlüğü silme ve tespit ve müdahale yeteneklerini zayıflatmak için güvenlik araçlarının kaldırılması yer alır.
Büyük Av Hayvanı Avı ve Çifte Gasp
Chaos, yüksek değerli varlıkları çift gasp teknikleriyle hedef alan büyük avlanma stratejisini benimsedi. Bu, yalnızca dosyaları şifrelemek değil, aynı zamanda fidye ödenmediği takdirde çalınan verileri sızdırmakla tehdit etmek anlamına da geliyor. Grup, fidye yazılımı yükünü başlatmadan önce hassas verileri sızdırmak için meşru bir dosya senkronizasyon yazılımı olan GoodSync'i kullanıyor.
Son aşama, hem yerel hem de ağ kaynaklarını hızla şifreleyebilen çok iş parçacıklı bir fidye yazılımı ikilisinin dağıtılmasını içerir. Kurtarma çalışmalarını daha da aksatmak ve tespit edilmekten kaçınmak için fidye yazılımı, sanal makinelere karşı savunma, hata ayıklama araçları, otomatikleştirilmiş sanal alanlar ve diğer tehdit analiz ortamları dahil olmak üzere gelişmiş anti-analiz taktikleri kullanır.
Platformlar Arası Uyumluluk ve Yüksek Fidyeler
Kaos fidye yazılımları, Windows, Linux, ESXi ve NAS sistemleriyle uyumluluğu kanıtlanmış, oldukça çok yönlüdür. Saldırganlar, bir şifre çözme aracı ve saldırı zincirini ve güvenlik önerilerini içeren sözde "ayrıntılı bir sızma özeti" karşılığında genellikle 300.000 dolar civarında yüksek fidyeler talep ediyor.
Bilinen mağdurların çoğu ABD'de bulunuyor ve bu da onu bu gelişen tehdit için birincil hedef bölge haline getiriyor.
Geçmişin Yankıları: Kaos ve BlackSuit Bağlantısı
Chaos yeni bir isim olsa da, teknikleri ve altyapısı net bir kökene sahip. Analistler, BlackSuit operasyonlarıyla güçlü örtüşmeler olduğunu ve şu benzerlikler bulunduğunu belirtti:
- Şifreleme komutları
- Fidye notlarının yapısı ve tonu
- Aynı RMM araçlarının kullanımı
Bu önemli, çünkü BlackSuit, kötü şöhretli Conti fidye yazılımı sendikasından türeyen Royal'in yeniden markalanmış haliydi. Değişen kimlikler, bu tehdit aktörlerinin kolluk kuvvetlerinin önünde kalmak ve operasyonel ivmeyi korumak için nasıl yeniden markalaşıp yeniden örgütlendiklerini gösteriyor.
Şah Mat Operasyonu: Kolluk Kuvvetleri İçin Taktiksel Bir Zafer
Kaos'un ortaya çıkışı, BlackSuit'in karanlık ağ altyapısının çökertilmesinde kolluk kuvvetlerinin büyük bir zafer kazanmasıyla aynı zamana denk geliyor. Ele geçirilen siteleri ziyaret edenler, ABD İç Güvenlik Soruşturmaları'ndan gelen bir açılış sayfasıyla karşılaşıyor ve sitelerin koordineli bir uluslararası çabanın parçası olarak ele geçirildiğini belirtiyor. Ancak yetkililer, operasyonla ilgili henüz resmi bir açıklama yapmadı.
Son Düşünceler: Kaos, Karmaşıklık ve Aldatmaca Getirir
Kaos, karmaşık bir ticaret anlayışı ile aldatıcı markalamanın tehlikeli bir karışımıdır. Meşru araçlar, hedefli saldırılar ve tespit önleme stratejileri kullanması onu önemli bir tehdit haline getirir. Kuruluşlar, yalnızca kötü amaçlı yazılımın kendisine değil, aynı zamanda ilk başarısını sağlayan sosyal mühendislik taktiklerine karşı da dikkatli olmalı ve savunmalarını güçlendirmelidir.
