Llega ‘Chaos’, un nuevo grupo de ransomware responsable de ataques de alto perfil
- Endpoint
Los atacantes emplean un enfoque escalonado que incluye acceso inicial mediante campañas de spam de bajo esfuerzo, seguido de ingeniería social por voz para el despliegue del ransomware, el uso de herramientas legítimas de administración remota y la exfiltración de datos utilizando el software GoodSync.
Cisco Talos ha publicado una investigación detallada sobre una nueva campaña de ransomware llevada a cabo por el grupo ‘Chaos’, que ya ha comenzado a atacar a múltiples organizaciones, principalmente en Estados Unidos, pero también en Reino Unido, India y Nueva Zelanda. Este grupo de ransomware como servicio (RaaS) es responsable de ciberataques de alto perfil (big-game hunting) y doble extorsión, afectando a sectores críticos como tecnología, seguros, fabricación, logística, servicios de alimentos y organizaciones no gubernamentales.
Aunque comparte nombre con variantes anteriores construidas con el ‘Chaos builder’, no está relacionado con malware anterior, y parece utilizar esta confusión intencionalmente para dificultar la detección por parte de los equipos de ciberseguridad. Talos cree que el nuevo grupo de ransomware podría ser una operación renombrada del ransomware Blacksuit (Royal) o un nuevo grupo surgido de uno de los grupos de ransomware con mayor volumen de ataques.
Metodología de ataque
Los atacantes han empleado un enfoque escalonado que incluye acceso inicial mediante campañas de spam de bajo esfuerzo, seguido de ingeniería social por voz para el despliegue del ransomware, el uso de herramientas legítimas de administración remota como AnyDesk, ScreenConnect, Syncro, OptiTune y Splashtop Streamer para mantener persistencia y control en los sistemas comprometidos y la exfiltración de datos utilizando el software de respaldo GoodSync, que redirige la información robada hacia almacenamiento en la nube controlado por los atacantes.
Chaos encripta el entorno de la víctima, usa ".chaos" como extensión de archivo para los archivos cifrados y deja caer la nota de rescate "readme.chaos[.]txt". En la nota de rescate, el atacante afirma que intentaron realizar pruebas de seguridad en el entorno de la víctima y lograron comprometerlo. También amenazan a las víctimas con la divulgación de sus datos confidenciales robados si no pagan el rescate. El actor no deja una demanda de rescate inicial o instrucciones de pago en su nota de rescate, sino que proporciona instrucciones para contactarlos usando una URL específica para cada víctima.
Si la víctima paga el rescate, el atacante proporcionará una aplicación de descifrado para entornos específicos, junto con un informe detallado de la prueba de penetración realizada en el entorno de la víctima. También aseguran a la víctima que los datos robados no serán revelados y se eliminarán permanentemente, asegurando que no realizarán ataques repetidos. Si la víctima no paga, el actor amenaza con revelar sus datos robados y realizar un ataque de denegación de servicio distribuido (DDoS) en todos los servicios de Internet de la víctima, así como difundir la noticia de su violación de datos a competidores y clientes.
