Een nieuw opkomende ransomware-as-a-service (RAAS) bende genaamd Chaos bestaat waarschijnlijk uit voormalige leden van de Blacksuit-bemanning, omdat de duistere webinfrastructuur van deze laatste het onderwerp is geweest van een inbeslagname van de wetshandhaving.
Chaos, die in februari 2025 ontstond, is de nieuwste deelnemer in het ransomware-landschap om big-game jacht- en dubbele afpersingsaanvallen uit te voeren.
“Chaos RAAS-acteurs initieerd met lage spam-overstromingen, escaleerden naar spraakgebaseerde sociale engineering voor toegang, gevolgd door RMM-toolmisbruik voor aanhoudende verbinding en legitieme software voor het delen van bestanden voor gegevens-exfiltratie,” zei Cisco Talos-onderzoekers Anna Bennett, James Nutland en Chetan Raghuprasad.
“De ransomware maakt gebruik van multi-threaded snelle selectieve codering, anti-analysetechnieken en richt zich op zowel lokale als netwerkbronnen, het maximaliseren van de impact terwijl het detectie en herstel wordt belemmerd.”
Het is belangrijk om hier op te merken dat de ransomware -groep niet gerelateerd is aan de chaos ransomware -buildervarianten zoals Yashma en Lucky_GH0 $ t, wat aangeeft dat de dreigingsacteurs dezelfde naam gebruiken om verwarring te zaaien. Een meerderheid van de slachtoffers bevindt zich in de Verenigde Staten, gebaseerd op gegevens van Ransomware.Live.
Compatibel met Windows, ESXI-, Linux- en NAS -systemen, is waargenomen op zoek naar losgeld van $ 300.000 van slachtoffers in ruil voor een decrypor en een “gedetailleerd penetratieoverzicht met de belangrijkste kill -keten en beveiligingsaanbevelingen.”
De aanvallen omvatten een combinatie van phishing- en spraak phishing -technieken om initiële toegang te verkrijgen door slachtoffers te misleiden om externe desktopsoftware te installeren, met name Microsoft Quick Assist.
De dreigingsacteurs voeren vervolgens ontdekking en verkenning na de compromisse uit, gevolgd door het installeren van andere RMM-tools zoals Anydesk, ScreenConnect, Optitune, Syncro RMM en Splashtop om aanhoudende externe toegang tot het netwerk te vestigen.
Ook zijn ondernomen stappen om referenties te oogsten, PowerShell -gebeurtenislogboeken te verwijderen en beveiligingshulpmiddelen op de machine te verwijderen om de detectie te ondermijnen. De aanvallen culmineren in de implementatie van de ransomware, maar niet vóór laterale beweging en data -exfiltratie met behulp van GoodSync.
De Ransomware Binary ondersteunt multithreading om een snelle codering van zowel lokale als netwerkbronnen te vergemakkelijken, terwijl ze herstelinspanningen blokkeren en meerlagige anti-analysetechnieken implementeren om debugging-tools, virtuele machineomgevingen, geautomatiseerde sandboxen en andere beveiligingsplatforms te ontwijken.
De links naar blacksuit komen voort uit overeenkomsten in het gebruikte handel, inclusief in de coderingsopdrachten, het thema en de structuur van de RANSom -noot en de gebruikte RMM -tools. Het is vermeldenswaard dat Blacksuit een rebrand is van de Royal Ransomware-groep, die op zichzelf een uitloper van Conti was, die de vormveranderende aard van de dreiging benadrukte.
De ontwikkeling komt rond dezelfde tijd dat de donkere websites van Blacksuit in beslag werden genomen als onderdeel van een gezamenlijke wetshandhavingsinspanning genaamd Operation Checkmate. Bezoekers worden begroet door een splash -scherm dat stelt: “Deze site is in beslag genomen door US Homeland Security Investigations als onderdeel van een gecoördineerd internationaal onderzoek naar wetshandhaving.” Er is geen officiële verklaring van de autoriteiten op de takedown geweest.
In een gerelateerde stap kondigden het US Federal Bureau of Investigation (FBI) en het ministerie van Justitie (DOJ) publiekelijk de inbeslagname aan van 20.2891382 BTC (nu gewaardeerd op meer dan $ 2,4 miljoen) van een cryptocurrency -portemonnee -adres geassocieerd met een lid van de chaos ransomware -groep bekend als Hors.
Chaos is de nieuwste deelnemer aan het ransomware -landschap, dat ook getuige is geweest van de komst van andere nieuwe stammen zoals back -ups, Bert, Blackfl, Bqtlock, Dark 101, Gunra, Jackalock, Moscovium, Redfox en Sinobi. Gunra beoordeeld als gebaseerd op de beruchte Conti -ransomware, heeft Gunra sinds eind april 2025 13 slachtoffers geëist.
“Gunra-ransomware maakt gebruik van geavanceerde ontwijking en anti-analysetechnieken die worden gebruikt om Windows-besturingssystemen te infecteren en tegelijkertijd het risico op detectie te minimaliseren,” zei Cyfirma. “De ontwijkingscapaciteiten zijn onder meer verduistering van kwaadaardige activiteit, vermijding van op regels gebaseerde detectiesystemen, sterke coderingsmethoden, losgeldvereisten en waarschuwingen om gegevens over ondergrondse forums te publiceren.”
Andere recente ransomware-aanvallen omvatten het gebruik van DLL-side-loading om Nailaolocker en Clickfix-achtige kunstaas te laten vallen om gebruikers te misleiden om Malicious HTML Application (HTA) -bestanden te downloaden onder het voorwendsel van het voltooien van een Captcha Verification Check en het verspreiden van Epsilon Red Ransomware.
“Epsilon Red Ransomware, voor het eerst geïdentificeerd in 2021, laat een losgeldbrief achter op geïnfecteerde computers die een gelijkenis vertonen met de Revil -ransomware -noot, zij het met kleine grammaticale verbeteringen,” zei Cloudsek.
Volgens NCC Group daalden ransomware -aanvallen in het tweede kwartaal van 2025 met 43% tot 1.180, een daling van 2.074 in Q1 2025. Qilin is de meest actieve ransomware -groep geworden tijdens de tijdsperiode, gevolgd door Akira op 131, spelen op 115, Safepay at 108 en Lynx op 46. worden naar schatting actief in 2025.
“Het aantal slachtoffers dat wordt blootgesteld op ransomware -lekplaatsen kan afnemen, maar dit betekent niet dat bedreigingen worden verminderd,” zei Matt Hull, wereldwijd hoofd van dreigingsinformatie bij NCC Group.
“Wetshandhavingsoptreden en gelekte ransomware -broncode is mogelijk een bijdragende factor over een daling van de activiteit, maar ransomware -groepen gebruiken deze mogelijkheid om te evolueren door rebranding en het gebruik van geavanceerde social engineering -tactieken.”
