Il panorama della cybercriminalità è stato scosso dall’emergere di un nuovo gruppo ransomware-as-a-service chiamato Chaos, apparso subito dopo il sequestro delle infrastrutture dark web della famigerata gang BlackSuit. Secondo le ultime ricerche, Chaos potrebbe essere composto da ex membri di BlackSuit, decisi a continuare le attività criminali con tattiche ancora più aggressive e sofisticate. Il gruppo ha iniziato la sua attività nel febbraio 2025, adottando strategie di big-game hunting e doppia estorsione, prendendo di mira soprattutto aziende e organizzazioni statunitensi.

Le campagne di Chaos

Le campagne di Chaos si contraddistinguono per una prima fase di spam massivo, seguita da tecniche di social engineering vocali che consentono l’installazione di software di controllo remoto come Microsoft Quick Assist sui sistemi delle vittime. Una volta ottenuto l’accesso, gli attaccanti utilizzano ulteriori strumenti di remote monitoring come AnyDesk, ScreenConnect, OptiTune, Syncro RMM e Splashtop per mantenere una presenza stabile all’interno della rete compromessa. Parallelamente, vengono raccolte credenziali, eliminati log di eventi PowerShell e rimossi strumenti di sicurezza per ostacolare il rilevamento.

Caratteristiche del ransomware Chaos

Il ransomware Chaos mostra un’architettura multi-threaded per cifrare rapidamente sia le risorse locali che quelle di rete, implementando efficaci tecniche anti-analisi e anti-recovery. L’azione culmina nella richiesta di un riscatto, generalmente fissato a 300.000 dollari, che promette la consegna di un decryptor e un report tecnico dettagliato con raccomandazioni di sicurezza. Tali richieste sono rivolte soprattutto a vittime negli Stati Uniti e si accompagnano a una minaccia di pubblicazione dei dati esfiltrati, in pieno stile double extortion.

Somiglianze e legami con altri gruppi

Nell’analisi degli indicatori di compromissione, sono state riscontrate forti somiglianze tra Chaos e BlackSuit, sia nell’utilizzo di comandi di cifratura che nella struttura delle note di riscatto. BlackSuit, a sua volta, rappresentava un rebrand del gruppo Royal, che discende direttamente dal famigerato Conti, dimostrando come i gruppi ransomware si adattino e si riorganizzino costantemente per sfuggire alle azioni delle forze dell’ordine.

Attività recenti e nuove minacce

Il periodo di attività di Chaos coincide con l’operazione internazionale che ha portato al sequestro dei siti BlackSuit. Parallelamente, FBI e DoJ hanno annunciato la confisca di oltre 2,4 milioni di dollari in Bitcoin collegati a un membro del gruppo Chaos, a conferma della sua pericolosità e rilevanza nel panorama attuale. Il settore ransomware continua dunque a evolversi, con nuove varianti come Gunra, Bert, BlackFL e altri che sfruttano tecniche avanzate di evasione per colpire sistemi Windows, Linux ed ESXi.