Grupo de hackers Chaos RaaS
Una nueva operación de ransomware como servicio (RaaS) llamada Chaos ha irrumpido en el panorama de amenazas, generando alarma en la comunidad de ciberseguridad. Detectada por primera vez en febrero de 2025, Chaos parece estar estrechamente vinculada a antiguos miembros de BlackSuit, un grupo cuya infraestructura de la dark web fue desmantelada recientemente por las fuerzas del orden durante la Operación Jaque Mate. A pesar de su nombre, Chaos no está relacionada con desarrolladores anteriores de ransomware como Yashma o Lucky_Gh0$t, lo que añade deliberadamente una capa de confusión a una amenaza ya de por sí compleja.
Tabla de contenido
Tácticas del Caos: Del Spam a la Ingeniería Social
La cadena de ataque empleada por los actores de Chaos comienza con una inundación de spam de bajo esfuerzo y escala rápidamente a phishing de voz (vishing). Los actores de amenazas utilizan estas técnicas para engañar a sus objetivos y lograr que instalen software de escritorio remoto, en particular Microsoft Quick Assist, para obtener acceso inicial.
Una vez dentro, implementan un arsenal de herramientas de monitorización y gestión remota (RMM), como AnyDesk, ScreenConnect, OptiTune, Syncro RMM y Splashtop, para establecer un control persistente sobre las redes comprometidas. Las acciones posteriores a la vulneración incluyen la recolección de credenciales, la eliminación del registro de eventos de PowerShell y la eliminación de herramientas de seguridad para debilitar las capacidades de detección y respuesta.
Caza mayor y doble extorsión
Chaos ha adoptado una estrategia de caza mayor, atacando entidades de alto valor con técnicas de doble extorsión. Esto implica no solo cifrar archivos, sino también amenazar con filtrar los datos robados a menos que se pague un rescate. El grupo utiliza GoodSync, un software legítimo de sincronización de archivos, para exfiltrar datos confidenciales antes de ejecutar la carga útil del ransomware.
La etapa final consiste en la implementación de un binario de ransomware multiproceso capaz de cifrar rápidamente recursos locales y de red. Para dificultar aún más los esfuerzos de recuperación y evadir la detección, el ransomware emplea tácticas avanzadas de antianálisis, como defensas contra máquinas virtuales, herramientas de depuración, entornos de pruebas automatizados y otros entornos de análisis de amenazas.
Compatibilidad entre plataformas y cuantiosos rescates
El ransomware Chaos es notablemente versátil, con compatibilidad confirmada con sistemas Windows, Linux, ESXi y NAS. Los atacantes exigen cuantiosos rescates, generalmente alrededor de 300.000 dólares, a cambio de una herramienta de descifrado y una supuesta "descripción detallada de la penetración" que incluye la cadena de ataque y recomendaciones de seguridad.
La mayoría de las víctimas conocidas se encuentran en Estados Unidos, lo que lo convierte en una región objetivo principal para esta amenaza en evolución.
Ecos del pasado: el caos y la conexión del traje negro
Si bien Chaos es un nombre nuevo, sus técnicas e infraestructura revelan un claro linaje. Los analistas han observado importantes coincidencias con las operaciones de BlackSuit, incluyendo similitudes en:
- Comandos de cifrado
- Estructura y tono de las notas de rescate
- Uso de herramientas RMM idénticas
Esto es significativo porque BlackSuit fue una renovación de la marca Royal, derivada del infame grupo de ransomware Conti. El cambio de identidad muestra cómo estos actores de amenazas se renuevan y reorganizan para mantenerse a la vanguardia de las fuerzas del orden y mantener su dinamismo operativo.
Operación Jaque Mate: Una victoria táctica para las fuerzas del orden
La aparición de Chaos coincide con una importante victoria policial en el desmantelamiento de la infraestructura de la dark web de BlackSuit. Quienes visitan los sitios confiscados ahora encuentran una página de inicio de Investigaciones de Seguridad Nacional de EE. UU., que declara que los sitios han sido confiscados como parte de una iniciativa internacional coordinada. Sin embargo, las autoridades aún no han publicado un comunicado oficial sobre la operación.
Reflexiones finales: El caos trae sofisticación y engaño
El caos representa una peligrosa combinación de técnicas sofisticadas y una imagen de marca engañosa. El uso de herramientas legítimas, ataques dirigidos y estrategias antidetección lo convierte en una amenaza significativa. Las organizaciones deben mantenerse alerta y reforzar sus defensas no solo contra el malware en sí, sino también contra las tácticas de ingeniería social que permiten su éxito inicial.
