Chaos勒索软件崛起:BlackSuit团伙覆灭后的网络安全新威胁

国际执法行动摧毁BlackSuit勒索团伙后,新兴的Chaos勒索软件即服务组织开始活跃。该组织采用双重勒索策略,针对多平台系统进行攻击,并具备反检测技术。本文详细分析其攻击手法和防御建议。

Chaos勒索软件崛起:BlackSuit团伙覆灭后的网络安全新威胁

研究人员详细介绍了一个由前BlackSuit成员组成的新型双重勒索勒索软件组织,该组织最近被国际执法部门瓦解。

来源:Antoni Bastien via Alamy Stock Photo

一个新的勒索软件团伙正在造成严重破坏,而另一个团伙则被取缔。

思科Talos研究人员于7月24日详细介绍了Chaos,这是一个较新的勒索软件即服务组织,专门从事大型猎物狩猎和双重勒索攻击(意味着它既加密受害者文件又窃取数据以潜在泄露)。根据思科Talos的说法,该组织于2月初出现,似乎由前BlackSuit勒索软件团伙成员组成,“基于勒索软件加密方法、勒索笔记结构和攻击中使用的工具集的相似性”。

如果这是真的,该组织的血统可以追溯到几年前,因为BlackSuit是一个相当多产的团伙,于2023年出现。它从Royal勒索软件分离出来,而Royal本身被怀疑由前Conti成员组成。

这反映了勒索软件格局不断变化的状态。团伙成员可以隶属于多个组织,当一个组织的基础设施被拆除时,另一个具有新服务器和暗网泄露站点的重新命名版本会取而代之。

BlackSuit很可能朝着这个方向发展,因为该团伙的暗网域名在上周末被执法部门查封。其泄露站点现在显示一个通知,声明美国国土安全部已查封该站点,作为名为"Operation Checkmate"的国际多机构调查的一部分。通知中还可见乌克兰、德国和英国执法部门的标志等。

相关:SafePay声称入侵Ingram Micro,设定赎金截止日期

至少截至本文撰写时,Chaos尚未遭受类似的中断。其数据泄露站点仍然在线。

Chaos的细节

根据思科Talos研究人员的说法,Chaos勒索软件影响了广泛受害者,主要基于美国,其次是英国、新西兰和印度。该组织在俄语网络犯罪论坛RAMP上积极向潜在附属机构推广其勒索软件,并宣传其为跨平台。

“他们强调新的Chaos勒索软件与Windows、ESXi、Linux和NAS系统兼容,具有单独文件加密密钥、快速加密速度和网络资源扫描等功能——所有这些都强烈强调高速加密和强大的安全措施,“思科Talos博客作者Anna Bennett、James Nutland和Chetan Raghuprasad写道。“此外,该组织提供一个自动化面板用于管理目标和通信,需要支付入场费,在第一次付款情况下可退款。”

研究人员指出,该团伙在暗网论坛帖子中声明不与金砖国家成员国或独联体国家、医院和政府实体合作。

相关:美国核机构在Microsoft SharePoint狂潮中被黑客攻击

一旦该组织侵入受害者环境,它使用”.chaos"文件扩展名加密文件,并添加一个勒索笔记,将Chaos呈现为一种渗透测试公司。作为勒索付款(Chaos称之为"和平解决方案”)的交换,该组织承诺删除被盗数据并提供详细的安全报告。如果不付款,Chaos威胁删除受害者的勒索软件解密器,对他们发起DDoS攻击,并通知竞争对手和客户有关违规行为。在思科Talos提供的一个例子中,初始赎金要求为30万美元。

博客文章描述了一个典型的攻击路径。Chaos攻击者会使用远程访问工具通过社会工程学进入受害者环境,启动多个发现命令,执行恶意代码,连接到命令和控制服务器,使用远程监控工具维持持久性,并访问凭据以进行权限升级和横向移动。一旦Chaos攻击者获得最大访问权限,他们会外泄受害者数据并加密环境中的文件。

相关:戴尔被勒索组织入侵,称被盗数据为"假"

Chaos勒索软件包括多种混淆检测的方法,例如"多线程快速选择性加密"和检测调试、沙箱和虚拟机环境的反分析技术。

博客文章包括危害指标和进一步的技术细节。

防御者能做什么?

尽管Chaos的策略、技术和程序元素突出,但重要的是要注意,在典型攻击中,该团伙通过网络钓鱼和语音钓鱼等社会工程技术获得初始访问权限。

因此,一般安全卫生最佳实践是您的朋友。如果您接到IT人员的电话,要求提供与多因素认证(MFA)或VPN相关的敏感信息,请通过不同的通信线路(最好亲自)验证请求。如果您收到可疑电子邮件或任何要求您登录的电子邮件,请检查发送给您的电子邮件地址。一如既往,在授予远程访问权限时要小心。根据组织情况,抗网络钓鱼认证(如FIDO密钥)也可能值得考虑。

Dark Reading已联系思科Talos获取有关Chaos活动的更多信息。

关于作者

Alexander Culafi 高级新闻撰稿人,Dark Reading Alex是一位基于波士顿的作家、记者和播客主持人。

查看更多来自Alexander Culafi的内容

随时了解最新的网络安全威胁、新发现的漏洞、数据泄露信息和新兴趋势。每日或每周直接发送到您的电子邮件收件箱。

订阅更多见解

网络研讨会 为更有效的安全合作伙伴关系制定路线图 2025年8月13日 更多网络研讨会

活动 [虚拟活动] 现代企业的战略安全 2025年6月25日 [虚拟活动] 数据泄露剖析 2025年6月17日 [会议] Black Hat USA - 8月2-7日 - 了解更多 2025年8月1日 更多活动

您可能还喜欢 网络攻击与数据泄露 关键Fortinet漏洞引起新关注 网络攻击与数据泄露 Volt Typhoon袭击马萨诸塞州电力公司 网络攻击与数据泄露 Ghost勒索软件针对70多个国家的组织 网络攻击与数据泄露 国家公共数据确认大规模泄露

特色 查看Black Hat USA会议指南,获取更多来自和关于展会的报道和情报。

编辑选择 网络安全分析 SIEM:缓慢死亡还是准备AI重生? SIEM:缓慢死亡还是准备AI重生? 作者:Rob Wright 2025年7月31日 5分钟阅读 Dark Reading Confidential标志黑白 网络安全运营 Dark Reading Confidential:资助未来的CVE计划 Dark Reading Confidential:资助未来的CVE计划 作者:Dark Reading Staff 2025年7月30日 现代概念艺术海报与古代维纳斯半身像 应用安全 对Vibe编码进行网络安全氛围检查 对Vibe编码进行网络安全氛围检查 作者:Alexander Culafi 2025年7月30日 5分钟阅读

网络研讨会 为更有效的安全合作伙伴关系制定路线图 2025年8月13日 更多网络研讨会

白皮书 量化感知安全与全面MITRE ATT&CK覆盖之间的差距 2022年保险行业网络威胁格局报告 保护关键基础设施:2021年能源、公用事业和工业网络威胁格局报告 2021年银行和金融服务行业网络威胁格局报告 XDR在现代SOC中的影响 更多白皮书

活动 [虚拟活动] 现代企业的战略安全 2025年6月25日 [虚拟活动] 数据泄露剖析 2025年6月17日 [会议] Black Hat USA - 8月2-7日 - 了解更多 2025年8月1日 更多活动

Black Hat USA 2025年8月2日-7日 2025年8月2日-7日 准备好提升您的网络安全知识了吗?加入我们参加行业顶级网络安全活动,各级专业人士和黑客聚集于此,了解信息安全的最新风险、研究和趋势。Black Hat USA汇集全球顶级网络安全专家,在友好、供应商中立的环境中展示他们的前沿工作和发现。不要错过这个必参加的活动! 了解更多 发现更多 Black Hat Omdia 与我们合作 关于我们 广告 重印 加入我们 新闻通讯注册 关注我们 版权所有 © 2025 TechTarget, Inc. d/b/a Informa TechTarget。本网站由Informa TechTarget拥有和运营,该全球网络的一部分,旨在告知、影响和连接全球技术买家和卖家。所有版权归其所有。Informa PLC的注册办公室是5 Howick Place, London SW1P 1WG。在英格兰和威尔士注册。TechTarget, Inc.的注册办公室是275 Grove St. Newton, MA 02466。 首页|Cookie政策|隐私|使用条款

Cookie按钮关于本网站的Cookie 我们和我们的合作伙伴使用Cookie来增强您的网站体验,了解我们网站的使用方式,提供个性化功能,衡量我们服务的有效性,并在您浏览网页或跨设备与我们互动时根据您的兴趣定制内容和广告。点击"继续"或继续浏览我们的网站,即表示您同意我们和我们的合作伙伴使用Cookie。更多信息请参见隐私政策继续Cookie政策当您访问任何网站时,它可能会在您的浏览器上存储或检索信息, mostly以Cookie的形式。这些信息可能关于您、您的偏好或您的设备, mostly用于使网站按您期望的方式工作。这些信息通常不直接识别您,但可以为您提供更个性化的网络体验。因为我们尊重您的隐私权,您可以选择不允许某些类型的Cookie。点击不同的类别标题以了解更多信息并更改我们的默认设置。但是,阻止某些类型的Cookie可能会影响您对网站的体验和我们能够提供的服务。 更多信息允许所有管理同意偏好严格必要的Cookie始终活动这些Cookie对于网站功能是必需的,不能在我们的系统中关闭。它们通常仅在您提出服务请求的操作中设置,例如设置您的隐私偏好、登录或填写表格。您可以将浏览器设置为阻止或提醒您这些Cookie,但网站的某些部分将无法工作。这些Cookie不存储任何个人身份信息。性能Cookie始终活动这些Cookie允许我们计算访问量和流量来源,以便我们衡量和改进我们网站的性能。它们帮助我们了解哪些页面最受欢迎和最不受欢迎,并查看访问者如何在网站上移动。所有这些Cookie收集的信息都是汇总的,因此是匿名的。如果您不允许这些Cookie,我们将不知道您何时访问了我们的网站,也无法监控其性能。功能Cookie始终活动这些Cookie使网站能够提供增强的功能和个性化。它们可能由我们或我们添加到页面上的第三方提供商设置。如果您不允许这些Cookie,那么这些服务中的部分或全部可能无法正常工作。定向Cookie始终活动这些Cookie可能通过我们的网站由我们的广告合作伙伴设置。它们可能被这些公司用于建立您的兴趣档案并在其他网站上向您显示相关广告。它们不直接存储个人信息,而是基于唯一标识您的浏览器和互联网设备。如果您不允许这些Cookie,您将体验较少的定向广告。返回按钮Cookie列表搜索图标筛选图标清除复选框标签标签应用取消同意合法利益复选框标签标签复选框标签标签复选框标签标签确认我的选择

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次