Chaos RaaS
A Cisco Talos Incident Response egy új, 2025 februárjában megalakult zsarolóvírus‑szolgáltató csoportot mutat be, amely rövid idő alatt jelentős propagálási és támadási tevékenységet folytatott megcélozva vállalati hálózatokat, elsődlegesen az Egyesült Államok, kisebb részben az Egyesült Királyság, Új‑Zéland és India szervezeteit.
A Chaos által alkalmazott támadási módszerek egyszerre kevéserőforrás‑igényes spamkampányokat és hangalapú pszichológiai megtévesztést (vishing) is tartalmaznak. Az áldozatokat arra ösztönzik, hogy létesítsenek távoli kapcsolatot, például Quick Assist segítségével, amit követően hozzájuthatnak a hálózati eszközökhöz és telepítik a Ransom Remote Monitoring Management (RMM) eszközöket, elindítva az első behatolást és további eszköztelepítést.
A ransomware maga hatékony, hálózati és helyi erőforrásokat is titkosít, elemzésálló technikákat alkalmaz, több szálon gyorsan működik, és csak részben titkosít bizonyos fájlokat a titkosítás gyorsítása érdekében. A fertőzött file‑k kiterjesztése .chaos, a váltságdíj‑üzenet pedig readme.chaos.txt néven jelenik meg. A csoport bejelenti, hogy ha a váltságdíjat – gyakran körülbelül 300 000 USD-t – kifizetik, akkor dekódoló eszközt és penetrációs tesztre emlékeztető részletes jelentést is biztosítanak; fizetés hiányában az ellopott adatokat nyilvánosságra hozzák és akár DDoS‑támadást is kilátásba helyeznek.
A Talos közepesjelentős biztonsággal arra következtet, hogy a Chaos mögött a korábbi BlackSuit (Royal) csoport tagjai állnak, mivel számos technikai és strukturális hasonlóságot mutatnak: például azonos típusú TTP-k, hasonló konfigurációs paraméterek (például a lkey, encrypt_step és work_mode névhasználata) és váltságdíj‑struktúra jellemzi mindkét operációt.
A Chaos támadások támogatására RaaS (ransomware‑as‑a‑service) modellben toboroznak affilateket a sötét weben, például az RAMP fórumon, és előfizetéses rendszerrel kínálják az infrastruktúrát. Kifejezték, hogy nem dolgoznak együtt BRICS/CIS országokkal, kórházakkal vagy kormányzati szervezetekkel, ami azt sugallja, hogy bizonyos demográfiai szegmenseket elkerülnek.
A Talos dokumentációban kiemelik a támadás életciklusában használt TTP‑ket, az érvényes fiókok megszerzése (T1078), vishing (T1598.004), rendszertérkép‑gyűjtés, PowerShell és RMM eszközök használata kivitelezett parancsvégrehajtásokhoz, valamint automatizált titkosítási paraméterezés és shadow copy törlése (visszaállításgátlás céljából).
A Chaos zsarolóprogram olyan áldozatokkal is végzett támadást, ahol kevesebb mint 24‑48 óra alatt sikerült teljes átfogó titkosítást végrehajtani, ha a szervezet későn lépett fel. Azonban ahol korán reagáltak és együttműködtek egy incident response csapattal, ott azonnali beavatkozással megelőzhető volt a titkosítás. Ez alátámasztja azt a Talos által hangsúlyozott tézist, az időben történő reagálás kulcsfontosságú lehet a ransomware‑támadások mérséklésében vagy megelőzésében.
