Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Witold Kepinski - 30 juli 2025

Ransomwaregroep Chaos zaait verwarring met agressieve afperstactieken

Cisco Talos Incident Response (Talos IR) heeft recentelijk aanvallen waargenomen van Chaos, een relatief nieuwe Ransomware-as-a-Service (RaaS) groep. Deze groep voert zogeheten 'big-game hunting' en 'double extortion' aanvallen uit, waarbij ze niet alleen data versleutelen maar ook dreigen met openbaarmaking.

Cybercrime Ransomware Security Cybersecurity
Ransomwaregroep Chaos zaait verwarring met agressieve afperstactieken image

Volgens Talos IR start de Chaos RaaS-groep met low-effort spamcampagnes, gevolgd door stem-gebaseerde social engineering om toegang te verkrijgen. Daarna misbruiken ze Remote Monitoring and Management (RMM) tools voor persistente verbindingen en legitieme software voor het exfiltreren van gegevens. De ransomware maakt gebruik van multi-threaded, selectieve versleuteling, anti-analyse technieken, en richt zich op zowel lokale als netwerkbronnen om de impact te maximaliseren en detectie te bemoeilijken.

Talos vermoedt dat deze nieuwe Chaos-ransomware geen verband houdt met eerdere varianten die door een 'Chaos builder' zijn gegenereerd, ondanks de gelijknamigheid die bedoeld lijkt om verwarring te stichten.

Mogelijke connectie met BlackSuit (Royal) Gang

Met redelijke zekerheid stelt Talos dat de nieuwe Chaos-groep waarschijnlijk is gevormd door voormalige leden van de BlackSuit (Royal) gang. Deze inschatting is gebaseerd op overeenkomsten in de versleutelingsmethodologie, de structuur van de losgeldbrief, en de gebruikte toolset bij de aanvallen.

Opportunistische slachtoffers en mondiale dekking

De nieuwe Chaos-groep treft een breed scala aan bedrijven, zonder zich te richten op specifieke sectoren. Slachtoffers bevinden zich voornamelijk in de Verenigde Staten, met een kleiner aantal in het Verenigd Koninkrijk, Nieuw-Zeeland en India, zo blijkt uit de 'data leak site' van de aanvallers.

Werking van de Chaos RaaS Groep

Chaos verscheen voor het eerst in februari 2025 en promoot actief hun cross-platform ransomware-software op het Russischtalige cybercriminele forum "Ransom Anon Market Place (RAMP)". De groep zoekt samenwerking met affiliates en benadrukt de compatibiliteit van hun ransomware met Windows, ESXi, Linux en NAS-systemen. Belangrijke kenmerken zijn onder meer individuele bestandsversleutelingssleutels, hoge versleutelingssnelheden en netwerkscanmogelijkheden.

De groep biedt tevens een geautomatiseerd paneel voor het beheren van doelen en communicatie, waarvoor een betaalde toegangspeld vereist is die wordt terugbetaald na de eerste succesvolle losgeldbetaling. Ze hebben duidelijk aangegeven geen samenwerking aan te gaan met BRICS/CIS-landen, ziekenhuizen en overheidsinstanties.

Dubbele afpersing en losgeldeisen

Zoals andere operators in de 'double extortion' sector, beheert Chaos een 'data leak site' om gestolen gegevens van slachtoffers openbaar te maken die niet aan hun losgeld eisen voldoen. De losgeldbrief, genaamd "readme.chaos.txt", claimt dat de aanvallers beveiligingstests hebben uitgevoerd en de omgeving succesvol hebben gecompromitteerd. Slachtoffers worden bedreigd met openbaarmaking van hun vertrouwelijke gegevens als ze het losgeld niet betalen. Hoewel de losgeldbrief geen direct bedrag of betalingsinstructies bevat, verwijst het naar een unieke Onion URL voor elk slachtoffer om contact op te nemen.

In onderhandelingen eist de Chaos-groep doorgaans $300.000. Bij betaling beloven ze een decryptor, een gedetailleerd penetratietestrapport en de permanente verwijdering van gestolen gegevens, met de garantie van geen herhaalde aanvallen. Indien het losgeld niet wordt betaald, dreigen ze met openbaarmaking van de data, een Distributed Denial-of-Service (DDoS) aanval op internetgerichte diensten van het slachtoffer, en het verspreiden van het nieuws over de datalek aan concurrenten en klanten.

Tactieken, Technieken en Procedures (TTP's)

Cisco Talos IR heeft verschillende opmerkelijke TTP's waargenomen bij Chaos ransomware-aanvallen:

  • Initiële Toegang: Verkregen via social engineering, phishing en 'vishing' (voice phishing). Slachtoffers worden overspoeld met spam en telefonisch verleid om ingebouwde hulp op afstand tools, zoals Microsoft Quick Assist, te starten.
  • Discovery: Na toegang worden commando's uitgevoerd om netwerkconfiguraties, domeincontrollerdetails, gebruikersgegevens, lopende processen en netwerkshares te verzamelen.
  • Uitvoering: Scripts en commando's worden uitgevoerd om de omgeving voor te bereiden op het downloaden van kwaadaardige bestanden en verbinding te maken met de Command and Control (C2) server van de aanvaller. Dit omvat onder andere PowerShell-commando's en het gebruik van tools zoals "atexec" van de Impacket toolkit.
  • Persistentie: RMM-tools zoals AnyDesk, ScreenConnect, OptiTune, Syncro RMM en Splashtop streamer worden geïnstalleerd voor continue toegang. Ook worden registerinstellingen gewijzigd om gebruikersaccounts te verbergen en wachtwoorden van domeingebruikers gereset.
  • Referentie Toegang en Privilege Escalatie: Ldapsearch commando's worden uitgevoerd via reverse SSH-tunnels om gebruikersdetails uit Active Directory te dumpen, waarschijnlijk met het oog op 'kerberoasting' voor verhoogde privileges.
  • Verdedigingsontwijking: PowerShell-gebeurtenislogboeken worden verwijderd en pogingen worden ondernomen om beveiligings- of multi-factor authenticatie applicaties te verwijderen via WMIC-commando's.
  • Laterale Beweging: RDP-clients en Impacket worden gebruikt voor command-uitvoering via SMB en WMI om zich lateraal door het netwerk te bewegen.
  • Verzameling en Exfiltratie: Legitieme tools zoals GoodSync worden ingezet om data van lokale systemen en netwerkshares te exfiltreren naar door de aanvaller beheerde cloudopslag. Bestanden worden gefilterd om alleen recente bestanden op te nemen, terwijl bepaalde bestandstypen worden uitgesloten om detectie te omzeilen.
  • Command and Control: Reverse SSH-tunnels worden opgezet via de Windows OpenSSH-client naar de C2-server van de aanvaller.
  • Impact: De ransomware versleutelt selectief bestanden op de doelmachines en voegt de extensie ".chaos" toe. De losgeldbrief, "readme.chaos.txt", wordt geplaatst na versleuteling. Schaduwkopieën worden verwijderd om systeemherstel te voorkomen.

Overeenkomsten met BlackSuit (Royal) ransomware

Talos schat met redelijke zekerheid in dat de nieuwe Chaos ransomwaregroep een rebranding is van de BlackSuit (Royal) ransomware of wordt beheerd door voormalige leden. Deze inschatting is gebaseerd op overeenkomsten in TTP's, inclusief versleutelingscommando's, het thema en de structuur van de losgeldbrief, en het gebruik van LOLbins en RMM-tools in hun aanvallen.

Detectie en Preventie

Cisco biedt diverse oplossingen om de Chaos-dreiging te detecteren en te blokkeren, waaronder Cisco Secure Endpoint, Cisco Secure Email, Cisco Secure Firewall, Cisco Secure Network/Cloud Analytics, Cisco Secure Malware Analytics, Cisco Secure Access, Umbrella, Cisco Secure Web Appliance, en Cisco Duo voor multi-factor authenticatie. Aanvullende bescherming is beschikbaar via het Firewall Management Center.

Indicatoren van compromis (IOC's) en Snort/ClamAV-detecties voor deze dreiging zijn beschikbaar op de GitHub-repository van Talos.

Dutch IT events

Event icon

Event

Dutch IT Channel & Digital Realty Channel BBQ

Event icon

Event

SAIL 2025

Alle events
Gartner BN tm 12-11-2025 - 3

Over Witold Kepinski

Witold Kepinski

Witold Kepinski (1969) is Bestuurder, Editor-in-Chief en Director Content van Dutch IT Channel en Dutch IT Leaders. Witold Kepinski is 25 jaar actief in de IT Media en Tech Business branche

Witold Kepinski geeft met een gespecialiseerd team van redacteuren, bloggers en videomakers inzicht in tech business trends en toepassingen waarmee IT-beslissers en Channel Partners impact maken.