Μια νέα απειλή στον κυβερνοχώρο, γνωστή ως Chaos, έχει αναδειχθεί ως μια ομάδα ransomware-as-a-service (RaaS) που πραγματοποιεί επιθέσεις «big-game hunting» και διπλού εκβιασμού. Αυτή η ομάδα, που εμφανίστηκε ήδη από τον Φεβρουάριο του 2025, στοχεύει σε ένα ευρύ φάσμα επιχειρηματικών κλάδων χωρίς να εστιάζει σε κάποιον συγκεκριμένο τομέα.
Το Chaos ransomware είναι ξεχωριστό και δεν σχετίζεται με προηγούμενες παραλλαγές που δημιουργήθηκαν από τον κατασκευαστή Chaos, χρησιμοποιώντας το ίδιο όνομα πιθανώς για να δημιουργήσει σύγχυση. Οι ερευνητές εκτιμούν με μέτρια βεβαιότητα ότι η νέα ομάδα Chaos πιθανότατα σχηματίστηκε από πρώην μέλη της συμμορίας BlackSuit (Royal), βασιζόμενοι σε ομοιότητες στη μεθοδολογία κρυπτογράφησης, τη δομή του σημειώματος λύτρων και τα εργαλεία που χρησιμοποιούνται. Η ομάδα προωθεί ενεργά το λογισμικό της σε ρωσόφωνα φόρουμ του dark web, αναζητώντας συνεργάτες.
Οι τακτικές επίθεσης του Chaos ξεκινούν με χαμηλής προσπάθειας spam flooding, το οποίο κλιμακώνεται σε φωνητική κοινωνική μηχανική για την απόκτηση πρόσβασης. Μόλις μπουν μέσα, κάνουν κατάχρηση εργαλείων απομακρυσμένης διαχείρισης (RMM) για συνεχή σύνδεση και χρησιμοποιούν νόμιμο λογισμικό κοινής χρήσης αρχείων για την εξαγωγή δεδομένων. Το ίδιο το ransomware έχει σχεδιαστεί για μέγιστο αντίκτυπο, διαθέτοντας πολυνηματική, γρήγορη επιλεκτική κρυπτογράφηση, τεχνικές κατά της ανάλυσης και τη δυνατότητα κρυπτογράφησης αρχείων τόσο σε τοπικούς όσο και σε δικτυακούς πόρους. Μετά την κρυπτογράφηση, τα αρχεία μετονομάζονται με την επέκταση «.chaos» και αφήνεται ένα σημείωμα λύτρων με το όνομα «readme.chaostxt».
Σε αντίθεση με ορισμένες ομάδες, το σημείωμα λύτρων του Chaos δεν περιλαμβάνει αρχική απαίτηση λύτρων, αλλά καθοδηγεί τα θύματα να επικοινωνήσουν μέσω μιας συγκεκριμένης διεύθυνσης URL onion. Η ομάδα διατηρεί επίσης έναν ιστότοπο διαρροής δεδομένων για να δημοσιεύει κλεμμένες πληροφορίες από θύματα που δεν πληρώνουν. Τα θύματα έχουν εντοπιστεί κυρίως στις ΗΠΑ, με λιγότερα στο Ηνωμένο Βασίλειο, τη Νέα Ζηλανδία και την Ινδία.
Η εξέλιξη του Chaos ransomware builder, που δεν σχετίζεται με αυτή τη νέα ομάδα, είναι επίσης αξιοσημείωτη. Οι πρώτες εκδόσεις που εμφανίστηκαν στα μέσα του 2021 λειτουργούσαν περισσότερο ως καταστροφικό wiper παρά ως πραγματικό ransomware, διαγράφοντας αρχεία αντί να τα κρυπτογραφούν. Με την πάροδο του χρόνου, εξελίχθηκε για να συμπεριλάβει πραγματική κρυπτογράφηση AES/RSA για μικρότερα αρχεία και τελικά εξελίχθηκε σε μια πιο εκλεπτυσμένη παραλλαγή που ονομάζεται Yashma Ransomware. Αυτός ο κατασκευαστής μείωσε το εμπόδιο εισόδου για αρχάριους εγκληματίες του κυβερνοχώρου, επιτρέποντάς τους να δημιουργούν προσαρμοσμένες καμπάνιες ransomware με λίγα μόνο κλικ.