Talos a déclaré que le chaos est probablement un changement de marque du ransomware de la combinaison noire ou est exploité par certains des anciens membres du Noir. TALOS a basé son évaluation sur les similitudes dans les mécanismes de chiffrement dans le ransomware, le thème et la structure des notes de rançon, les outils de surveillance et de gestion à distance utilisés pour accéder aux réseaux ciblés et son choix de Lolbins—Enseasage des fichiers exécutables trouvés nativement dans les environnements Windows – pour compromettre les cibles. Lolbins tire leur nom parce que ce sont des binaires qui permettent aux attaquants de vivre du terrain.
Le Post Talos a été publié à peu près au même moment que le site Web Dark appartenant à BlackSuit a commencé à afficher un message disant que le site avait été saisi dans Operation Checkmate. Les organisations qui ont participé au retrait comprenaient le ministère américain de la Justice, le Département américain de la sécurité intérieure, les services secrets américains, la police nationale néerlandaise, le bureau de la police criminelle allemand, la UK National Crime Agency, le procureur général de Francfort, le bureau du ministère de la Justice, le cyber-policier ukrainien et l’Europol.
Capture d’écran
Le chaos gagne généralement un accès initial via l’ingénierie sociale à l’aide de techniques de phishing par e-mail ou vocale. Finalement, la victime est persuadée de contacter un représentant de la sécurité informatique, qui, en fait, fait partie de l’opération de ransomware. Le membre du chaos demande à la cible de lancer Microsoft Quick Assist, un outil d’assistance à distance intégré à Windows et de se connecter au point de terminaison de l’attaquant.
Le prédécesseur du Chaos, BlackSuit, est un changement de marque d’une opération de ransomware antérieure connue sous le nom de Royal. Royal, selon Micro tendanceest un groupe d’éclat du groupe de ransomwares Conti. Le cercle des groupes de ransomwares se poursuit.