گروه هکری Chaos RaaS

یک عملیات جدید باج‌افزار به عنوان سرویس (RaaS) به نام Chaos وارد عرصه تهدیدات شده و نگرانی‌هایی را در جامعه امنیت سایبری ایجاد کرده است. Chaos که اولین بار در فوریه 2025 مشاهده شد، به نظر می‌رسد ارتباط نزدیکی با اعضای سابق گروه BlackSuit دارد، گروهی که زیرساخت وب تاریک آنها اخیراً توسط نیروهای انتظامی در طول عملیات Checkmate برچیده شد. با وجود نامش، Chaos هیچ ارتباطی با سازندگان قبلی باج‌افزار Chaos مانند Yashma یا Lucky_Gh0$t ندارد و این امر عمداً لایه‌ای از سردرگمی را به یک تهدید پیچیده اضافه می‌کند.

تاکتیک‌های آشوب: از هرزنامه تا مهندسی اجتماعی

زنجیره حمله‌ای که توسط عاملان Chaos به کار گرفته می‌شود با ارسال هرزنامه‌های کم‌زحمت شروع می‌شود و به سرعت به فیشینگ صوتی (ویشینگ) ارتقا می‌یابد. عاملان تهدید از این تکنیک‌ها برای فریب اهداف جهت نصب نرم‌افزار ریموت دسکتاپ، به‌ویژه Microsoft Quick Assist، برای دسترسی اولیه استفاده می‌کنند.

پس از ورود، آنها مجموعه‌ای از ابزارهای نظارت و مدیریت از راه دور (RMM) مانند AnyDesk، ScreenConnect، OptiTune، Syncro RMM و Splashtop را برای ایجاد کنترل مداوم بر شبکه‌های آسیب‌دیده مستقر می‌کنند. اقدامات پس از نفوذ شامل برداشت اعتبارنامه، حذف گزارش رویدادهای PowerShell و حذف ابزارهای امنیتی برای تضعیف قابلیت‌های تشخیص و پاسخ است.

شکار بزرگ و اخاذی مضاعف

گروه Chaos یک استراتژی شکار بزرگ را اتخاذ کرده است و نهادهای با ارزش بالا را با تکنیک‌های اخاذی دوگانه هدف قرار می‌دهد. این به معنای نه تنها رمزگذاری فایل‌ها، بلکه تهدید به افشای داده‌های سرقت شده در صورت عدم پرداخت باج است. این گروه از GoodSync، یک نرم‌افزار همگام‌سازی فایل قانونی، برای استخراج داده‌های حساس قبل از راه‌اندازی باج‌افزار استفاده می‌کند.

مرحله آخر شامل استقرار یک باینری باج‌افزار چندرشته‌ای است که قادر به رمزگذاری سریع منابع محلی و شبکه است. برای جلوگیری از تلاش‌های بازیابی و فرار از شناسایی، این باج‌افزار از تاکتیک‌های پیشرفته ضدتحلیل، از جمله دفاع در برابر ماشین‌های مجازی، ابزارهای اشکال‌زدایی، جعبه‌های شنی خودکار و سایر محیط‌های تحلیل تهدید، استفاده می‌کند.

سازگاری بین پلتفرمی و باج‌های سنگین

باج‌افزار Chaos به طور قابل توجهی همه‌کاره است و سازگاری آن در سیستم‌های ویندوز، لینوکس، ESXi و NAS تأیید شده است. مهاجمان در ازای دریافت یک ابزار رمزگشایی و یک «مرور کلی نفوذ دقیق» که شامل زنجیره حمله و توصیه‌های امنیتی است، باج‌های هنگفتی، معمولاً حدود ۳۰۰۰۰۰ دلار، درخواست می‌کنند.

بیشتر قربانیان شناخته‌شده در ایالات متحده مستقر هستند و این امر، این کشور را به منطقه هدف اصلی این تهدید در حال تکامل تبدیل می‌کند.

پژواک‌هایی از گذشته: هرج و مرج و ارتباط لباس مشکی

اگرچه Chaos نام جدیدی است، اما تکنیک‌ها و زیرساخت‌های آن، تبار روشنی را نشان می‌دهند. تحلیلگران همپوشانی‌های زیادی با عملیات BlackSuit مشاهده کرده‌اند، از جمله شباهت‌هایی در:

• دستورات رمزگذاری
• ساختار و لحن یادداشت‌های باج‌خواهی
• استفاده از ابزارهای RMM یکسان

این موضوع از آن جهت حائز اهمیت است که خود BlackSuit تغییر نام تجاری Royal بود که از سندیکای بدنام باج‌افزار Conti سرچشمه گرفته بود. این هویت‌های متغیر نشان می‌دهد که چگونه این عوامل تهدید، تغییر نام تجاری و سازماندهی مجدد می‌دهند تا از مجریان قانون جلوتر باشند و شتاب عملیاتی خود را حفظ کنند.

عملیات مات: یک پیروزی تاکتیکی برای نیروهای انتظامی

ظهور Chaos همزمان با پیروزی بزرگ نیروهای انتظامی در از کار انداختن زیرساخت‌های دارک وب BlackSuit است. بازدیدکنندگان از سایت‌های توقیف‌شده‌ی آنها اکنون با صفحه‌ای از تحقیقات امنیت داخلی ایالات متحده مواجه می‌شوند که اعلام می‌کند این سایت‌ها به عنوان بخشی از یک تلاش هماهنگ بین‌المللی توقیف شده‌اند. با این حال، مقامات هنوز بیانیه رسمی در مورد این عملیات منتشر نکرده‌اند.

سخن آخر: هرج و مرج، پیچیدگی و فریب را به ارمغان می‌آورد

آشوب ترکیبی خطرناک از ترفندهای پیچیده و برندسازی فریبنده است. استفاده آن از ابزارهای قانونی، حملات هدفمند و استراتژی‌های ضد شناسایی، آن را به یک تهدید قابل توجه تبدیل می‌کند. سازمان‌ها باید هوشیار باشند و نه تنها در برابر خود بدافزار، بلکه در برابر تاکتیک‌های مهندسی اجتماعی که موفقیت اولیه آن را ممکن می‌سازند، دفاع خود را تقویت کنند.