De nieuwe Chaos RaaS-groep ontpopt zich als een gevaarlijke speler in het ransomwarelandschap. Cisco Talos Incident Response onderzocht meerdere aanvallen van deze nieuwe groep.Â
Chaos voert zogeheten big-game hunting en double extortion-aanvallen uit. Slachtoffers worden niet alleen gegijzeld via versleuteling van data. De aanvallers dreigen ook met openbaarmaking ervan. De aanvalsketen begint vaak met grootschalige spam, gevolgd door telefonische social engineering en het misbruiken van legitieme beheerhulpmiddelen voor blijvende toegang en datadiefstal.
Chaos maakt gebruik van snelwerkende, selectieve bestandsversleuteling en past anti-analysemaatregelen toe die detectie en herstel bemoeilijken. Opmerkelijk is dat deze groep niets te maken lijkt te hebben met eerdere ransomwareversies afkomstig van de Chaos builder. Men gebruikt de naam waarschijnlijk bewust opnieuw om verwarring te zaaien binnen de beveiligingsgemeenschap.
Geen specifieke sector als doelwit
De slachtoffers van Chaos zijn divers en voornamelijk gevestigd in de Verenigde Staten, met enkele meldingen uit het Verenigd Koninkrijk, Nieuw-Zeeland en India. Er lijkt geen specifieke sector als doelwit te zijn gekozen. Chaos biedt zijn ransomware aan via het Russische darkwebforum RAMP en richt zich actief op het rekruteren van affiliates. De software ondersteunt meerdere platforms zoals Windows, Linux, ESXi en NAS en bevat functies zoals individuele encryptiesleutels, hoge snelheid en netwerkverkenning.
Aanvallers maken gebruik van geautomatiseerde controlepanelen met een toegangssysteem waarvoor affiliates worden terugbetaald na een succesvolle aanval. In hun communicatie verklaren zij niet samen te werken met doelen in BRICS/CIS-landen, overheden of ziekenhuizen. Chaos publiceert gelekte data van niet-betalende slachtoffers op een eigen lekwebsite en eist losgeld zonder vooraf specifieke bedragen te noemen, maar biedt communicatie aan via onion-URL’s.
Bij een onderzochte aanval eiste de groep 300.000 dollar in ruil voor decryptietools, een penetratietestverslag en de belofte om gegevens te verwijderen. Betaalt het slachtoffer niet, dan dreigt Chaos met een DDoS-aanval en reputatieschade.
Breed scala aan aanvalstechnieken
De aanvalsmethodiek van Chaos omvat technieken als voice phishing, misbruik van remote management tools zoals AnyDesk en ScreenConnect en gebruik van legitieme software zoals GoodSync voor datadiefstal. Talos identificeerde een breed scala aan tactieken en technieken, waaronder privilege-escalatie via token impersonatie, aanpassing van registersleutels en het opzetten van reverse SSH-tunnels voor command-and-control.
Chaos maakt gebruik van krachtige encryptie met een hybride aanpak via ECDH en AES-256. Iedere versleutelde file krijgt een unieke sleutel toegewezen en wordt voorzien van metadata. De ransomware vermijdt het versleutelen van systeemkritische bestanden om instabiliteit te voorkomen en sluit eerder versleutelde bestanden met een .chaos-extensie uit.
Analyse van de encryptor wijst op compilatiedata van begin 2025, waarmee wordt aangetoond dat de operaties recent zijn gestart. De ransomware detecteert en ontwijkt analyseomgevingen zoals sandboxes en debugger tools met behulp van hash-gebaseerde herkenning en timing checks. Het losgeldbericht wordt met een XOR-algoritme ontcijferd en in een tekstbestand opgeslagen.
Opvallend zijn de overeenkomsten met de werkwijze van BlackSuit (Royal), waaronder het gebruik van soortgelijke encryptieparameters, ransomwareopdrachten en de opbouw van de losgeldbrief. Deze parallellen versterken de vermoedens dat Chaos mogelijk een doorstart is van of gerund wordt door voormalige leden van BlackSuit.