Un grupo de ransomware recién surgido, conocido como Chaos, ha iniciado una serie de ataques cibernéticos generalizados que afectan a organizaciones de múltiples sectores. Según investigadores de Cisco Talos, la campaña se dirige principalmente a víctimas en Estados Unidos, con reportes adicionales en Reino Unido, Nueva Zelanda e India.

Aunque Chaos no parece enfocarse en una industria específica, su enfoque oportunista se alinea con la estrategia de “caza mayor”, utilizando tácticas de doble extorsión para presionar a las víctimas. Esto incluye tanto el cifrado de archivos críticos como amenazas de filtración de datos.

En un caso destacado analizado por Cisco, el grupo implementó una estrategia de negociación poco común: se prometía un incentivo adicional a las víctimas que cumplieran rápidamente, mientras que quienes resistieran enfrentaban consecuencias mayores, incluida la amenaza de un ataque de denegación de servicio distribuido (DDoS).

“Chaos es un actor nuevo y peligroso en el panorama del ransomware,” señalaron los investigadores de Talos en su publicación del 24 de julio. “El grupo tenía poca o ninguna actividad previa antes de su campaña actual.”

Declarando Independencia de los Estados-Nación
Chaos opera bajo un modelo de Ransomware como Servicio (RaaS) y ha estado reclutando activamente afiliados en foros de ciberdelincuentes de habla rusa, particularmente en el Ransom Anon Market Place (RAMP). El grupo ha declarado que no atacará ni colaborará con países BRICS o de la Comunidad de Estados Independientes (CIS), incluida Rusia, ni atacará gobiernos o hospitales.

Su ransomware puede comprometer sistemas Windows, Linux, ESXi y NAS, e incluye funciones como claves de cifrado por archivo, cifrado rápido y escaneo de red para identificar activos valiosos.

De forma importante, este grupo no está afiliado a familias de malware anteriores creadas con el generador de ransomware Chaos. En cambio, los investigadores de Cisco creen, con confianza moderada, que los operadores probablemente sean exmiembros de la banda Royal/BlackSuit, basándose en estructuras de código superpuestas y similitudes en las notas de rescate.

Tácticas de Phishing por Voz e Ingeniería Social
Chaos usa ingeniería social para el acceso inicial, combinando phishing por correo electrónico con ataques basados en llamadas telefónicas. Las víctimas reciben correos spam que las incitan a llamar a un supuesto “helpdesk de TI”. Durante la llamada, el atacante se hace pasar por un profesional de ciberseguridad y guía a la víctima para abrir Microsoft Quick Assist, obteniendo acceso remoto.

Una vez dentro del sistema, el atacante realiza reconocimiento — recopilando detalles de la red y escaneando procesos activos. Se ejecuta una serie de scripts y comandos para preparar el sistema para la entrega del malware y establecer conexión con un servidor de mando y control (C2).

Para mantener la persistencia, el atacante usa herramientas legítimas de administración remota como AnyDesk y ScreenConnect. Herramientas como net.exe se emplean para restablecer contraseñas de usuarios de dominio, y los registros de PowerShell se borran para eliminar rastros. También puede desactivar herramientas de seguridad y desinstalar aplicaciones de autenticación multifactor (MFA).

La exfiltración de datos se realiza usando GoodSync, una herramienta legítima de sincronización. Para evitar la detección, el atacante filtra los archivos a robar, probablemente excluyendo archivos grandes o altamente sensibles.

Métodos de Cifrado y Extorsión
El ransomware Chaos cifra partes específicas de los archivos — en lugar de los archivos completos — para acelerar el proceso, añadiendo la extensión “.chaos” a los documentos afectados. La técnica permite un impacto rápido mientras mantiene la presión sobre la víctima para que pague.

En un caso documentado, Chaos exigió un rescate de 300,000 dólares y ofreció proporcionar:

• Una herramienta de descifrado adaptada al entorno comprometido.
• Un informe completo de prueba de penetración del ataque.
• Garantía de eliminar los datos robados y no atacar de nuevo.

Sin embargo, el incumplimiento desencadenaba amenazas escalonadas, que incluían:

• Divulgación pública de los datos robados.
• Ataque DDoS a los servicios expuestos a internet.
• Notificación de la brecha a clientes y competidores.

Cisco destacó que la nota de rescate de Chaos se parece mucho al estilo de las campañas Royal/BlackSuit, presentando un saludo, una supuesta explicación de auditoría de seguridad, mensajes de doble extorsión y un enlace .onion para contacto.

Fuente: https://www.infosecurity-magazine.com/news/chaos-ransomware-wave-attacks