Chaos RaaS Hacker Group
Eine neue Ransomware-as-a-Service (RaaS)-Operation namens Chaos ist in die Bedrohungslandschaft eingetreten und hat in der Cybersicherheits-Community Alarm ausgelöst. Chaos wurde erstmals im Februar 2025 beobachtet und scheint eng mit ehemaligen Mitgliedern der BlackSuit-Crew verbunden zu sein, einer Gruppe, deren Darknet-Infrastruktur kürzlich im Rahmen der Operation Checkmate von den Strafverfolgungsbehörden zerschlagen wurde. Trotz seines Namens hat Chaos nichts mit früheren Entwicklern von Chaos-Ransomware wie Yashma oder Lucky_Gh0$t zu tun, was einer ohnehin komplexen Bedrohung eine zusätzliche, bewusste Verwirrungsebene verleiht.
Inhaltsverzeichnis
Taktiken des Chaos: Von Spam bis Social Engineering
Die Angriffskette der Chaos-Akteure beginnt mit einem einfachen Spam-Flooding und steigert sich schnell zu Voice-Phishing (Vishing). Mit diesen Techniken versuchen die Angreifer, ihre Opfer dazu zu verleiten, Remote-Desktop-Software, insbesondere Microsoft Quick Assist, zu installieren, um sich so Zugriff zu verschaffen.
Sobald sie sich Zugang verschafft haben, setzen sie ein Arsenal an Remote-Monitoring- und -Management-Tools (RMM) ein, wie etwa AnyDesk, ScreenConnect, OptiTune, Syncro RMM und Splashtop, um die dauerhafte Kontrolle über kompromittierte Netzwerke zu erlangen. Zu den Maßnahmen nach der Kompromittierung gehören das Sammeln von Anmeldeinformationen, das Löschen des PowerShell-Ereignisprotokolls und das Entfernen von Sicherheitstools, um die Erkennungs- und Reaktionsfähigkeiten zu schwächen.
Großwildjagd und doppelte Erpressung
Chaos verfolgt eine Strategie der Großwildjagd und zielt mit doppelten Erpressungsmethoden auf hochrangige Unternehmen ab. Dabei verschlüsselt die Gruppe nicht nur Dateien, sondern droht auch mit der Weitergabe gestohlener Daten, wenn kein Lösegeld gezahlt wird. Die Gruppe nutzt GoodSync, eine legitime Dateisynchronisierungssoftware, um vertrauliche Daten zu exfiltrieren, bevor sie die Ransomware-Nutzlast startet.
In der letzten Phase wird eine mehrfädige Ransomware-Binärdatei eingesetzt, die sowohl lokale als auch Netzwerkressourcen schnell verschlüsseln kann. Um die Wiederherstellung weiter zu erschweren und einer Erkennung zu entgehen, setzt die Ransomware fortschrittliche Anti-Analyse-Taktiken ein, darunter Abwehrmaßnahmen gegen virtuelle Maschinen, Debugging-Tools, automatisierte Sandboxen und andere Umgebungen zur Bedrohungsanalyse.
Plattformübergreifende Kompatibilität und hohe Lösegeldforderungen
Chaos-Ransomware ist besonders vielseitig und kompatibel mit Windows-, Linux-, ESXi- und NAS-Systemen. Die Angreifer fordern hohe Lösegelder, typischerweise um die 300.000 US-Dollar, im Austausch für ein Entschlüsselungstool und eine angeblich „detaillierte Penetrationsübersicht“, die die Angriffskette und Sicherheitsempfehlungen enthält.
Die meisten der bekannten Opfer befinden sich in den Vereinigten Staaten, was diese zu einer primären Zielregion dieser sich entwickelnden Bedrohung macht.
Echos der Vergangenheit: Chaos und die BlackSuit-Verbindung
Obwohl Chaos ein neuer Name ist, weisen seine Techniken und Infrastruktur eine klare Herkunft auf. Analysten haben starke Überschneidungen mit BlackSuit-Operationen festgestellt, darunter Ähnlichkeiten in:
- Verschlüsselungsbefehle
- Aufbau und Ton der Erpresserbriefe
- Verwendung identischer RMM-Tools
Dies ist bedeutsam, da BlackSuit selbst eine Umbenennung von Royal war, das wiederum aus dem berüchtigten Conti-Ransomware-Syndikat hervorging. Die wechselnden Identitäten zeigen, wie sich diese Bedrohungsakteure umbenennen und neu organisieren, um den Strafverfolgungsbehörden immer einen Schritt voraus zu sein und ihre operative Dynamik aufrechtzuerhalten.
Operation Checkmate: Ein taktischer Sieg für die Strafverfolgungsbehörden
Das Auftauchen von Chaos fällt mit einem wichtigen Erfolg der Strafverfolgungsbehörden bei der Zerschlagung der Darknet-Infrastruktur von BlackSuit zusammen. Besucher der beschlagnahmten Seiten werden nun auf eine Splash-Page der US-Heimatschutzbehörde gestoßen, auf der die Beschlagnahmung der Seiten im Rahmen einer koordinierten internationalen Aktion erklärt wird. Eine offizielle Stellungnahme der Behörden zu der Aktion gibt es jedoch noch nicht.
Abschließende Gedanken: Chaos bringt Raffinesse und Täuschung
Chaos stellt eine gefährliche Mischung aus raffiniertem Scharfsinn und irreführender Markenführung dar. Der Einsatz legitimer Tools, gezielter Angriffe und Anti-Erkennungsstrategien macht es zu einer erheblichen Bedrohung. Unternehmen müssen wachsam bleiben und ihre Abwehrmaßnahmen nicht nur gegen die Malware selbst, sondern auch gegen die Social-Engineering-Taktiken, die ihren anfänglichen Erfolg ermöglichen, verstärken.
