Uma nova gangue de ransomware-as-a-service (RaaS), chamada Chaos, parece ser formada por ex-membros da equipe BlackSuit, já que a infraestrutura deste último na dark web foi objeto de apreensão por parte das autoridades.
O Chaos, que surgiu em fevereiro de 2025, é o mais recente participante no cenário de ransomware a realizar ataques de caça a grandes jogos e extorsão dupla.
"Os atores do Chaos RaaS iniciaram com spam de baixo esforço, escalando para engenharia social baseada em voz para acesso, seguido pelo abuso de ferramentas RMM para conexão persistente e software legítimo de compartilhamento de arquivos para exfiltração de dados," disseram os pesquisadores da Cisco Talos, Anna Bennett, James Nutland e Chetan Raghuprasad.
"O ransomware utiliza criptografia seletiva rápida multi-thread, técnicas anti-análise e visa recursos locais e de rede, maximizando o impacto enquanto dificulta a detecção e recuperação."
É importante notar aqui que o grupo de ransomware não está relacionado às variantes do construtor de ransomware Chaos como Yashma e Lucky_Gh0$t, indicando que os atores de ameaças estão usando o mesmo nome para semear confusão.
A maioria das vítimas está localizada nos Estados Unidos, baseado em dados do Ransomware.live.
Compatível com sistemas Windows, ESXi, Linux e NAS, o Chaos foi observado buscando resgates de $300.000 de vítimas em troca de um decodificador e um "detalhado overview de penetração com a principal kill chain e recomendações de segurança."
Os ataques envolvem uma combinação de técnicas de phishing e vishing para obter acesso inicial, enganando as vítimas a instalar software de desktop remoto, particularmente o Microsoft Quick Assist.
Os atores de ameaças subsequentemente realizam descoberta e reconhecimento pós-comprometimento, seguido pela instalação de outras ferramentas RMM como AnyDesk, ScreenConnect, OptiTune, Syncro RMM e Splashtop para estabelecer acesso remoto persistente à rede.
Também são realizadas etapas para colher credenciais, deletar logs de eventos do PowerShell e deletar ferramentas de segurança instaladas na máquina para minar a detecção.
Os ataques culminam com a implantação do ransomware, mas não antes de movimentação lateral e exfiltração de dados usando GoodSync.
O binário do ransomware suporta multithreading para facilitar a rápida criptografia de recursos locais e de rede, ao mesmo tempo que bloqueia esforços de recuperação e implementa técnicas anti-análise multicamadas para evitar ferramentas de depuração, ambientes de máquina virtual, caixas de areia automáticas e outras plataformas de segurança.
As ligações com o BlackSuit vêm de similaridades no modus operandi empregado, incluindo nos comandos de criptografia, o tema e estrutura da nota de resgate, e as ferramentas RMM usadas.
Vale ressaltar que o BlackSuit é um rebranding do grupo de ransomware Royal, que, por sua vez, foi um desdobramento do Conti, destacando a natureza camaleônica da ameaça.
O desenvolvimento vem no mesmo momento em que os sites dark web do BlackSuit foram apreendidos como parte de um esforço conjunto das autoridades chamado Operation Checkmate.
Visitantes são recebidos por uma tela que declara, "Este site foi apreendido pela U.S.
Homeland Security Investigations como parte de uma investigação coordenada internacional de aplicação da lei." Não houve um comunicado oficial das autoridades sobre a derrubada.
Em uma ação relacionada, o Federal Bureau of Investigation (FBI) dos EUA e o Department of Justice (DoJ) anunciaram publicamente a apreensão de 20.2891382 BTC (agora avaliados em mais de $2,4 milhões) de um endereço de carteira de criptomoedas associado a um membro do grupo de ransomware Chaos conhecido como Hors.
Chaos é o mais recente participante no cenário de ransomware, que também testemunhou a chegada de outras novas cepas como Backups, Bert, BlackFL, BQTLOCK, Gunra, Jackalock, Moscovium, RedFox e Sinobi.
Avaliado como baseado no infame ransomware Conti, Gunra já reivindicou 13 vítimas desde o final de abril de 2025.
"O ransomware Gunra emprega técnicas avançadas de evasão e anti-análise usadas para infectar sistemas operacionais Windows enquanto minimiza o risco de detecção," disse a CYFIRMA.
"Suas capacidades de evasão incluem obfuscação de atividade maliciosa, evitando sistemas de detecção baseados em regras, métodos de criptografia fortes, demandas de resgate e avisos para publicar dados em fóruns underground."
Outros ataques recentes de ransomware incluem o uso de carregamento lateral de DLL para soltar NailaoLocker e iscas semelhantes à ClickFix para enganar os usuários a baixar arquivos de Aplicação HTML Maliciosa (HTA) sob o pretexto de completar uma verificação de CAPTCHA e espalhar o ransomware Epsilon Red.
"O ransomware Epsilon Red, identificado pela primeira vez em 2021, deixa uma nota de resgate nos computadores infectados que se assemelha à nota do ransomware REvil, embora com pequenas melhorias gramaticais," disse a CloudSEK.
De acordo com o NCC Group, os ataques de ransomware no segundo trimestre de 2025 caíram 43% para 1.180, um declínio de 2.074 no 1º trimestre de 2025.
Qilin se tornou o grupo de ransomware mais ativo durante o período, liderando com 151 ataques, seguido por Akira com 131, Play com 115, SafePay com 108, e Lynx com 46.
No total, estima-se que 86 novos e existentes grupos de ataque ativos estejam ativos em 2025.
"O volume de vítimas expostas em sites de vazamento de ransomware pode estar em declínio, mas isso não significa que as ameaças foram reduzidas," disse Matt Hull, Chefe Global de Inteligência de Ameaças na NCC Group.
"Ações de repressão das autoridades e vazamento de código-fonte de ransomware são possivelmente fatores contribuintes para uma queda na atividade, mas os grupos de ransomware estão usando essa oportunidade para evoluir por meio de rebranding e o uso de táticas avançadas de engenharia social."
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...