Groupe de hackers Chaos RaaS
Une nouvelle opération de rançongiciel en tant que service (RaaS) appelée Chaos a fait son apparition dans le paysage des menaces, suscitant l'inquiétude au sein de la communauté de la cybersécurité. Observée pour la première fois en février 2025, Chaos semble étroitement liée à d'anciens membres de l'équipe BlackSuit, un groupe dont l'infrastructure du dark web a récemment été démantelée par les forces de l'ordre lors de l'opération Checkmate. Malgré son nom, Chaos n'a aucun lien avec les précédents développeurs de rançongiciels Chaos comme Yashma ou Lucky_Gh0$t, ce qui ajoute une dose délibérée de confusion à une menace déjà complexe.
Table des matières
Tactiques du chaos : du spam à l’ingénierie sociale
La chaîne d'attaque employée par les acteurs du chaos commence par un spam flooding sans effort et évolue rapidement vers le phishing vocal (vishing). Les acteurs malveillants utilisent ces techniques pour inciter leurs cibles à installer des logiciels de bureau à distance, notamment Microsoft Quick Assist, afin d'obtenir un accès initial.
Une fois à l'intérieur, ils déploient un arsenal d'outils de surveillance et de gestion à distance (RMM), tels qu'AnyDesk, ScreenConnect, OptiTune, Syncro RMM et Splashtop, pour établir un contrôle permanent des réseaux compromis. Les actions post-compromission incluent la collecte d'identifiants, la suppression du journal des événements PowerShell et la suppression des outils de sécurité afin d'affaiblir les capacités de détection et de réponse.
Chasse au gros gibier et double extorsion
Chaos a adopté une stratégie de chasse au gros gibier, ciblant les entités de grande valeur par des techniques de double extorsion. Cela implique non seulement le chiffrement des fichiers, mais aussi la menace de divulguer les données volées si une rançon n'est pas versée. Le groupe utilise GoodSync, un logiciel de synchronisation de fichiers légitime, pour exfiltrer les données sensibles avant de lancer la charge utile du rançongiciel.
La dernière étape consiste à déployer un binaire de rançongiciel multithread capable de chiffrer rapidement les ressources locales et réseau. Pour contrecarrer davantage les efforts de récupération et échapper à la détection, le rançongiciel utilise des tactiques anti-analyse avancées, notamment des défenses contre les machines virtuelles, des outils de débogage, des sandbox automatisés et d'autres environnements d'analyse des menaces.
Compatibilité multiplateforme et rançons élevées
Le ransomware Chaos est particulièrement polyvalent, avec une compatibilité confirmée avec les systèmes Windows, Linux, ESXi et NAS. Les attaquants exigent des rançons élevées, généralement autour de 300 000 dollars, en échange d'un outil de déchiffrement et d'une prétendue « vue d'ensemble détaillée de la pénétration » incluant la chaîne d'attaque et des recommandations de sécurité.
La plupart des victimes connues se trouvent aux États-Unis, ce qui en fait une région cible privilégiée pour cette menace en constante évolution.
Échos du passé : le chaos et la connexion BlackSuit
Bien que Chaos soit un nom récent, ses techniques et son infrastructure révèlent une filiation évidente. Les analystes ont noté de forts chevauchements avec les opérations de BlackSuit, notamment des similitudes sur :
- Commandes de chiffrement
- Structure et ton des notes de rançon
- Utilisation d'outils RMM identiques
Ceci est significatif, car BlackSuit était lui-même une refonte de Royal, issu du tristement célèbre groupe de rançongiciels Conti. Ces changements d'identité illustrent la manière dont ces acteurs malveillants se repositionnent et se réorganisent pour garder une longueur d'avance sur les forces de l'ordre et maintenir leur dynamique opérationnelle.
Opération Échec et Mat : une victoire tactique pour les forces de l’ordre
L'émergence de Chaos coïncide avec une victoire majeure des forces de l'ordre lors du démantèlement de l'infrastructure du dark web de BlackSuit. Les visiteurs des sites saisis sont désormais redirigés vers une page d'accueil du Département d'enquête de la sécurité intérieure des États-Unis, indiquant que les sites ont été confisqués dans le cadre d'une opération internationale coordonnée. Cependant, les autorités n'ont pas encore publié de communiqué officiel concernant l'opération.
Réflexions finales : Le chaos apporte sophistication et tromperie
Chaos représente un dangereux mélange de techniques sophistiquées et de stratégies de marketing trompeuses. Son utilisation d'outils légitimes, d'attaques ciblées et de stratégies anti-détection en fait une menace importante. Les organisations doivent rester vigilantes et renforcer leurs défenses non seulement contre le malware lui-même, mais aussi contre les tactiques d'ingénierie sociale qui contribuent à son succès initial.
