Після знищення BlackSuit з’явився новий вірус-вимагач Chaos

У липні 2025 року міжнародні правоохоронні органи ліквідували BlackSuit, але ландшафт кіберзлочинності змінився майже миттєво: на його місці з’явилася нова операція з програмами-вимагачами як послуга (RaaS), що називає себе Chaos. Команди з аналізу загроз, такі як Cisco Talos, попереджають, що Chaos вже націлюється на великі організації на кількох континентах.

Передумови: Операція CheckMate ліквідує BlackSuit

В рамках Операції CheckMate агенції США, ЄС та України об’єднали зусилля для захоплення прихованих сервісів Tor та інфраструктури C2 BlackSuit:

• Захоплені сервери в Нідерландах та Німеччині
• Зашифровані платформи доказів для цифрової експертизи
• Спільні зусилля Міністерства юстиції, Міністерства внутрішньої безпеки США, Секретної служби США, Європолу, Кіберполіції України, Національного кримінального агентства Великої Британії та інших

“BlackSuit вимагав понад 500 мільйонів доларів викупу менш ніж за два роки. Ліквідація його інфраструктури завдає суттєвого удару по екосистемі програм-вимагачів,” — заявив офіційний представник Європолу.

Атаки на рівні підприємств: Великий полювання Chaos

З моменту свого виникнення в лютому 2025 року Chaos продемонстрував тактику “великого полювання” — зосередження на високовартісних цілях у США, Великій Британії, Індії та Новій Зеландії, вимагаючи викуп у середньому від 250 000 до 350 000 доларів. Жертви отримують повідомлення “readme.chaos.txt”, в якому погрожують витоком даних, публічним розголошенням та DDoS-атаками у разі відмови від сплати.

Технічний аналіз: Шифрування та інструменти атак

Chaos використовує гібридну криптосистему: AES-256 для шифрування великих файлів та RSA-2048 для захисту сесійного ключа. Аналіз зразка бінарного файлу виявляє:

• Резервний шифр ChaCha20 для шифрування великих обсягів даних
• Користувацький PE пакувальник з анті-дебагінгом та динамічною резолюцією API
• Інтеграція з Cobalt Strike для зв’язку C2 через HTTPS

Бінарники, що використовуються для прихованих атак (LOLbins), експлуатуються для забезпечення конфіденційності: certutil.exe завантажує шкідливі програми, bitsadmin.exe здійснює ексфільтрацію, а mshta.exe виконує обфусцировані скрипти в пам’яті.

Початковий доступ та тактики

Chaos отримує доступ через соціальну інженерію: фішингові електронні листи з шкідливими макросами Office або голосове фішингування, яке переконує співробітників служби підтримки запустити Microsoft Quick Assist. Потрапивши всередину, зловмисники підвищують свої привілеї за допомогою інструментів impacket і розгортають агенти віддаленого моніторингу та управління (RMM).

Контрзаходи правоохоронних органів та Операція CheckMate

Технічні експерти з криміналістики використовували образи дисків та захоплення мережевого трафіку для відстеження мережі афілійованих осіб BlackSuit. Ліквідація доменів C2 та відстеження криптовалютних гаманців дозволили слідчим перервати потоки платежів та отримати ключі для розшифровки, щоб допомогти жертвам.

Аналіз загроз та прогноз на майбутнє

“Ми вважаємо, що Chaos або є ребрендингом BlackSuit, або його персонал складається з колишніх членів,” — зазначив керівник досліджень Мэтт Уотчер з Cisco Talos. “Їхні TTP повторюють методологію та код Royal і Conti.”

Експерти з Mandiant і CrowdStrike прогнозують, що часті ребрендинги та зміна афілійованих осіб продовжуватимуться. Захисникам слід зіставити тактики Chaos з фреймворком MITRE ATT&CK (T1486: Дані, зашифровані для впливу, T1566: Фішинг) і впроваджувати рішення EDR/XDR на основі поведінки.

Основні рекомендації для підприємств:

1. Впроваджуйте MFA для RDP та VPN кінцевих точок
2. Моніторте незвичайні сесії Quick Assist та виконання LOLbin
3. Обмінюйтеся індикаторами компрометації (IOC) через платформи аналізу загроз