Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm tống tiền Nhóm hacker Chaos RaaS

Nhóm hacker Chaos RaaS

Đến năm Mezo năm Phần mềm tống tiền
Dịch sang:

Một chiến dịch Ransomware-as-a-Service (RaaS) mới nổi có tên Chaos đã xâm nhập vào bối cảnh đe dọa, gây ra những lo ngại trong cộng đồng an ninh mạng. Được phát hiện lần đầu vào tháng 2 năm 2025, Chaos dường như có liên hệ chặt chẽ với các cựu thành viên của nhóm BlackSuit, một nhóm có cơ sở hạ tầng dark web gần đây đã bị cơ quan thực thi pháp luật triệt phá trong Chiến dịch Checkmate. Mặc dù có tên như vậy, Chaos không liên quan đến các ransomware Chaos trước đây như Yashma hay Lucky_Gh0$t, càng làm tăng thêm sự nhầm lẫn cho một mối đe dọa vốn đã phức tạp.

Chiến thuật hỗn loạn: Từ thư rác đến kỹ thuật xã hội

Chuỗi tấn công mà các tác nhân Chaos sử dụng bắt đầu bằng việc gửi thư rác không tốn công sức và nhanh chóng leo thang thành lừa đảo qua giọng nói (vishing). Các tác nhân đe dọa sử dụng các kỹ thuật này để lừa mục tiêu cài đặt phần mềm máy tính từ xa, đáng chú ý nhất là Microsoft Quick Assist, để giành quyền truy cập ban đầu.

Sau khi xâm nhập, chúng triển khai một loạt các công cụ giám sát và quản lý từ xa (RMM), chẳng hạn như AnyDesk, ScreenConnect, OptiTune, Syncro RMM và Splashtop, để thiết lập quyền kiểm soát liên tục đối với các mạng bị xâm phạm. Các hành động sau khi xâm phạm bao gồm thu thập thông tin đăng nhập, xóa nhật ký sự kiện PowerShell và gỡ bỏ các công cụ bảo mật để làm suy yếu khả năng phát hiện và phản hồi.

Săn bắn thú lớn và tống tiền kép

Chaos đã áp dụng chiến lược săn mồi quy mô lớn, nhắm vào các thực thể có giá trị cao bằng kỹ thuật tống tiền kép. Điều này có nghĩa là không chỉ mã hóa tệp mà còn đe dọa rò rỉ dữ liệu bị đánh cắp nếu không trả tiền chuộc. Nhóm này sử dụng GoodSync, một phần mềm đồng bộ hóa tệp hợp pháp, để đánh cắp dữ liệu nhạy cảm trước khi khởi chạy phần mềm tống tiền.

Giai đoạn cuối cùng bao gồm việc triển khai mã nhị phân ransomware đa luồng có khả năng mã hóa nhanh chóng cả tài nguyên cục bộ và mạng. Để tiếp tục gây khó khăn cho các nỗ lực khôi phục và tránh bị phát hiện, ransomware sử dụng các chiến thuật chống phân tích tiên tiến, bao gồm phòng thủ chống lại máy ảo, công cụ gỡ lỗi, hộp cát tự động và các môi trường phân tích mối đe dọa khác.

Khả năng tương thích đa nền tảng và tiền chuộc lớn

Mã độc tống tiền Chaos đặc biệt đa năng, với khả năng tương thích đã được xác nhận trên các hệ thống Windows, Linux, ESXi và NAS. Kẻ tấn công yêu cầu khoản tiền chuộc lớn, thường khoảng 300.000 đô la, để đổi lấy một công cụ giải mã và một "tổng quan chi tiết về quá trình xâm nhập" bao gồm chuỗi tấn công và các khuyến nghị bảo mật.

Hầu hết các nạn nhân được biết đến đều ở Hoa Kỳ, khiến nơi đây trở thành mục tiêu chính của mối đe dọa đang phát triển này.

Tiếng vọng của quá khứ: Sự hỗn loạn và mối liên hệ với BlackSuit

Mặc dù Chaos là một cái tên mới, nhưng các kỹ thuật và cơ sở hạ tầng của nó lại cho thấy một nguồn gốc rõ ràng. Các nhà phân tích đã nhận thấy sự trùng lặp mạnh mẽ với các hoạt động của BlackSuit, bao gồm những điểm tương đồng về:

  • Lệnh mã hóa
  • Cấu trúc và giọng điệu của giấy đòi tiền chuộc
  • Sử dụng các công cụ RMM giống hệt nhau

Điều này rất quan trọng vì bản thân BlackSuit là một phiên bản đổi tên của Royal, vốn bắt nguồn từ tổ chức ransomware khét tiếng Conti. Việc thay đổi danh tính cho thấy cách các tác nhân đe dọa này đổi tên và tái cấu trúc để vượt mặt cơ quan thực thi pháp luật và duy trì đà hoạt động.

Chiến dịch Checkmate: Một chiến thắng chiến thuật cho lực lượng thực thi pháp luật

Sự xuất hiện của Chaos trùng hợp với một chiến thắng quan trọng của lực lượng thực thi pháp luật trong việc triệt phá cơ sở hạ tầng dark web của BlackSuit. Người truy cập vào các trang web bị tịch thu giờ đây sẽ thấy một trang chào mừng từ Cơ quan Điều tra An ninh Nội địa Hoa Kỳ, tuyên bố các trang web này đã bị tịch thu như một phần của nỗ lực phối hợp quốc tế. Tuy nhiên, chính quyền vẫn chưa đưa ra tuyên bố chính thức về chiến dịch này.

Suy nghĩ cuối cùng: Sự hỗn loạn mang đến sự tinh tế và lừa dối

Hỗn loạn là sự pha trộn nguy hiểm giữa các thủ đoạn tinh vi và thương hiệu lừa đảo. Việc sử dụng các công cụ hợp pháp, các cuộc tấn công có chủ đích và các chiến lược chống phát hiện khiến nó trở thành một mối đe dọa đáng kể. Các tổ chức phải luôn cảnh giác và tăng cường phòng thủ không chỉ chống lại bản thân phần mềm độc hại mà còn cả các chiến thuật kỹ thuật xã hội tạo điều kiện cho sự thành công ban đầu của nó.

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
35,998
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...