Група хакерів Chaos RaaS
Нова операція з використанням програм-вимагачів як послуги (RaaS) під назвою Chaos увійшла на ринок загроз, викликавши тривогу в спільноті кібербезпеки. Вперше виявлена в лютому 2025 року, Chaos, схоже, тісно пов'язана з колишніми членами команди BlackSuit, групи, чия інфраструктура даркнету нещодавно була демонтована правоохоронними органами під час операції «Checkmate». Незважаючи на свою назву, Chaos не пов'язаний з попередніми розробниками програм-вимагачів Chaos, такими як Yashma або Lucky_Gh0$t, що навмисно додає шару плутанини до і без того складної загрози.
Зміст
Тактики хаосу: від спаму до соціальної інженерії
Ланцюг атак, який використовують актори Хаосу, починається з невимушеного розсилання спаму та швидко переростає в голосовий фішинг (вішинг). Зловмисники використовують ці методи, щоб обманом змусити ціль встановити програмне забезпечення для віддаленого робочого столу, зокрема Microsoft Quick Assist, для отримання початкового доступу.
Потрапивши всередину, вони розгортають арсенал інструментів віддаленого моніторингу та управління (RMM), таких як AnyDesk, ScreenConnect, OptiTune, Syncro RMM та Splashtop, щоб встановити постійний контроль над скомпрометованими мережами. Дії після компрометації включають збір облікових даних, видалення журналу подій PowerShell та видалення інструментів безпеки для послаблення можливостей виявлення та реагування.
Полювання на велику дичину та подвійне вимагання
Хаос застосував стратегію полювання на велику дичину, орієнтуючись на цінні організації за допомогою методів подвійного вимагання. Це означає не лише шифрування файлів, але й погрози витоком викрадених даних, якщо не буде сплачено викуп. Група використовує GoodSync, легітимне програмне забезпечення для синхронізації файлів, для вилучення конфіденційних даних перед запуском програми-вимагача.
Заключний етап включає розгортання багатопотокового бінарного файлу програми-вимагача, здатного швидко шифрувати як локальні, так і мережеві ресурси. Щоб ще більше ускладнити зусилля з відновлення та уникнути виявлення, програма-вимагач використовує передові тактики антианалізу, включаючи захист від віртуальних машин, інструменти налагодження, автоматизовані пісочниці та інші середовища аналізу загроз.
Міжплатформна сумісність та значні викупи
Програма-вимагач Chaos надзвичайно універсальна, з підтвердженою сумісністю з системами Windows, Linux, ESXi та NAS. Зловмисники вимагають значні викупи, зазвичай близько 300 000 доларів, в обмін на інструмент розшифрування та нібито «детальний огляд проникнення», який включає ланцюжок атаки та рекомендації щодо безпеки.
Більшість відомих жертв знаходяться у Сполучених Штатах, що робить їх основним регіоном-мішенню для цієї загрози, що постійно зростає.
Відлуння минулого: Хаос та зв'язок з BlackSuit
Хоча Хаос — це нова назва, його методи та інфраструктура чітко демонструють свою природу. Аналітики відзначають сильний збіг з операціями BlackSuit, зокрема подібність у:
- Команди шифрування
- Структура та тон записок з вимогою викупу
- Використання ідентичних інструментів управління ризиками (RMM)
Це важливо, оскільки BlackSuit сам по собі був ребрендингом Royal, що походить від сумнозвісного синдикату програм-вимагачів Conti. Зміна ідентичності показує, як ці учасники зловмисного процесу змінюють бренди та реорганізуються, щоб випереджати правоохоронні органи та підтримувати оперативний імпульс.
Операція «Шах і мат»: тактична перемога правоохоронних органів
Поява Хаосу збігається з великою перемогою правоохоронних органів у знищенні інфраструктури даркнету BlackSuit. Відвідувачі захоплених сайтів тепер стикаються зі сторінкою-заявкою від Служби внутрішньої безпеки США, в якій зазначається, що сайти були конфісковані в рамках скоординованих міжнародних зусиль. Однак влада ще не опублікувала офіційної заяви щодо операції.
Заключні думки: Хаос приносить витонченість та обман
Хаос являє собою небезпечне поєднання витончених торгових хитрощів та оманливого брендингу. Використання легітимних інструментів, цілеспрямованих атак та стратегій боротьби з виявленням робить його значною загрозою. Організації повинні залишатися пильними та посилювати захист не лише від самого шкідливого програмного забезпечення, але й від тактик соціальної інженерії, які сприяють його початковому успіху.
