Cisco Talos: новый вирус-вымогатель Chaos запускает масштабную волну атак с акцентом на крупные компании и международные цели

Компания Cisco Talos опубликовала отчёт, в котором заявляется о появлении новой угрозы — вируса-вымогателя под названием Chaos, стремительно распространяющегося по цифровому пространству с февраля 2025 года. В документе подчёркивается, что злоумышленники, стоящие за Chaos, уже организовали волну атак, зафиксированную в разных странах, включая США, Великобританию, Новую Зеландию и Индию.

Как говорится в отчёте от 24 июля, вирус Chaos ориентирован на «охоту за крупной дичью», то есть на атакующие кампании против крупных компаний и структур с высоким оборотом. В документе подчёркивается, что выбор жертв не ограничен конкретной отраслью, а атаки носят оппортунистический характер. При этом применяется схема двойного вымогательства — с утечкой данных и параллельным шифрованием информации.

В отчёте Cisco Talos указывается, что группа злоумышленников активно продвигает собственное вредоносное ПО на даркнет-форуме RAMP, известном как Ransom Anon Market Place. В документе подчёркивается, что они предлагают модель RaaS (вымогатели как услуга) и ищут партнёров для распределения вредоносного кода. При этом в отчёте подчёркивается, что Chaos отказывается атаковать объекты в странах СНГ и БРИКС, а также избегает целей в здравоохранении и госсекторе.

Как указывается в отчёте, одна из зафиксированных атак сопровождалась новой тактикой давления. Злоумышленники предложили «бонус» за выполнение требований или пригрозили DDoS-атакой в случае отказа платить. В документе подчёркивается, что это нестандартный подход, который усиливает психологическое давление на жертву.

Chaos использует кроссплатформенное ПО, и, как отмечается в отчёте, его функциональность охватывает Windows, Linux, ESXi и NAS. В документе указано, что система использует индивидуальные ключи шифрования файлов, имеет высокую скорость шифрования и может сканировать сетевые ресурсы, расширяя охват атаки.

Исследователи с умеренной степенью уверенности считают, что Chaos разработан выходцами из группировок BlackSuit или Royal. В отчёте подчёркивается, что на это указывают сходства в шифровальных алгоритмах, структуре записок с требованиями и наборе вспомогательных инструментов. При этом в документе подчёркивается, что Chaos не имеет отношения к предыдущим одноимённым вредоносным сборкам, созданным на базе одноимённого конструктора вирусов.

Как отмечается в отчёте, до весны 2025 года активность Chaos была минимальной, но в последние месяцы угроза быстро масштабировалась и привлекла внимание аналитиков. В документе подчёркивается, что широкая поддержка форматов и гибкость стратегии делают эту группировку особенно опасной в условиях международной дестабилизации.