Una pandilla de ransomware como servicio (RAAS) recientemente emergente llamada Caos probablemente esté compuesta por ex miembros de la tripulación del traje negro, ya que la infraestructura web oscura de este último ha sido objeto de una convulsión de la aplicación de la ley.
El caos, que surgió en febrero de 2025, es el último participante en el panorama de ransomware para realizar ataques de caza y doble extorsión de grandes juegos.
«Los actores de Chaos Raas iniciaron inundaciones de spam de bajo esfuerzo, aumentando a la ingeniería social basada en la voz para el acceso, seguidos de abuso de herramientas RMM para una conexión persistente y un software legítimo de intercambio de archivos para la exfiltración de datos», dijeron los investigadores de Cisco Talos, Anna Bennett, James Nutland, y Chetan Raghuprasad.
«El ransomware utiliza el cifrado selectivo rápido de múltiples subprocesos, las técnicas de anti-análisis y se dirige tanto a los recursos locales como a la red, maximizando el impacto al tiempo que obstaculiza la detección y la recuperación».
Es importante tener en cuenta aquí que el grupo de ransomware no está relacionado con las variantes del constructor de ransomware del caos como Yashma y Lucky_Gh0 $ T, lo que indica que los actores de amenaza están usando el mismo nombre para sembrar confusión. La mayoría de las víctimas se encuentran en los Estados Unidos, basados en datos de Ransomware.Live.
Compatible con Windows, ESXI, Linux y NAS Systems, se ha observado que el caos busca rescates de $ 300,000 de las víctimas a cambio de un descitor y una «descripción detallada de la penetración con las principales recomendaciones de cadena y seguridad».
Los ataques implican una combinación de técnicas de phishing y phishing de voz para obtener el acceso inicial engañando a las víctimas para que instalen un software de escritorio remoto, particularmente la asistencia rápida de Microsoft.
Posteriormente, los actores de amenaza llevan a cabo el descubrimiento y el reconocimiento posterior a la compromiso, seguido de la instalación de otras herramientas RMM como Anydesk, ScreenConnect, Optitune, Syncro RMM y Splashtop para establecer un acceso remoto persistente a la red.
También se llevan a cabo pasos para cosechar credenciales, eliminar los registros de eventos de PowerShell y eliminar herramientas de seguridad instaladas en la máquina para socavar la detección. Los ataques culminan con el despliegue del ransomware, pero no antes del movimiento lateral y la exfiltración de datos utilizando GoodSync.
El binario de ransomware admite múltiples lectura para facilitar el cifrado rápido de los recursos locales y de red, todo mientras bloquea los esfuerzos de recuperación e implementando técnicas antianálisis de múltiples capas para evadir herramientas de depuración, entornos de máquinas virtuales, sandboxes automatizados y otras plataformas de seguridad.
Los enlaces a BlackSuit provienen de similitudes en la artesanía empleada, incluso en los comandos de cifrado, el tema y la estructura de la nota de rescate y las herramientas RMM utilizadas. Vale la pena señalar que BlackSuit es un cambio de marca del Royal Ransomware Group, que, en sí mismo, era una rama de Conti, destacando la naturaleza que cambia de forma de la amenaza.
El desarrollo se produce al mismo tiempo que los sitios web oscuros de Blacksuit fueron incautados como parte de un esfuerzo conjunto de aplicación de la ley llamado Operation Checkmate. Los visitantes son recibidos por una pantalla de salpicaduras que establece: «Este sitio ha sido incautado por las investigaciones de seguridad nacional de EE. UU. Como parte de una investigación coordinada de la ley internacional». No ha habido una declaración oficial de las autoridades sobre el derribo.
La compañía rumana de ciberseguridad Bitdefender, que ofreció asistencia experta a la policía, dijo que BlackSuit ha reclamado a más de 185 víctimas desde que surgió en el verano de 2023, describiéndolo como un grupo de ransomware privado sin confiar en los afiliados para llevar a cabo los ataques.
«La interrupción de la infraestructura de BlackSuit marca otro hito importante en la lucha contra el delito cibernético organizado», dijo a The Hacker News, un representante del equipo de Draco, la unidad de delitos cibernético de Bitdefender que participó en el derribo.
«Elogiamos a nuestros socios de aplicación de la ley por su coordinación y determinación. Las operaciones como esta refuerzan el papel crítico de las asociaciones público-privadas en el seguimiento, la exposición y, en última instancia, desmantelando grupos de ransomware que operan en las sombras. Cuando la experiencia global está alineada, los cibercriminales tienen menos lugares para esconder».
En una medida relacionada, la Oficina Federal de Investigación de los Estados Unidos (FBI) y el Departamento de Justicia (DOJ) anunciaron públicamente la incautación de 20.2891382 BTC (ahora valorado en más de $ 2.4 millones) de una dirección de billetera de criptomonedas asociada con un miembro del grupo de ransomware Chaos conocido como Hors.
El caos es el último participante del paisaje de ransomware, que también ha sido testigo de la llegada de otras cepas nuevas como respaldo, Bert, Blackfl, Bqtlock, Dark 101, Gunra, Jackalock, Moscovium, Redfox y Sinobi. Evaluado para estar basado en el infame ransomware conti, Gunra ha reclamado 13 víctimas desde finales de abril de 2025.
«El ransomware de Gunra emplea técnicas avanzadas de evasión y anti-análisis utilizadas para infectar los sistemas operativos de Windows mientras minimiza el riesgo de detección», dijo Cyfirma. «Sus capacidades de evasión incluyen la ofuscación de la actividad maliciosa, la evitación de sistemas de detección basados en reglas, métodos de cifrado fuertes, demandas de rescate y advertencias para publicar datos en foros subterráneos».
Desde entonces, Gunra también ha ampliado sus tentáculos para atacar los sistemas Linux, por tendencia micro, lo que indica las ambiciones multiplataforma del grupo. Al igual que el caos, la variante de Linux utiliza la lectura múltiple (limitada en 100 hilos) y el cifrado parcial para hacer que el proceso de cifrado sea más rápido y más flexible.
«A diferencia de la versión de Windows, se salta una nota de rescate por completo y, en cambio, se centra puramente en el cifrado de archivos rápido y configurable, incluida la opción de mantener las claves encriptadas por RSA en archivos separados de la tienda de claves», dijeron los investigadores Jeffrey Francis Bonaobra, Melvin Singwa y EMManuel Panopio.
Otros ataques de ransomware recientes incluyen el uso de la carga lateral de DLL para soltar los señuelos de Nailaolocker y similares a ClickFix para engañar a los usuarios para que descarguen archivos de aplicación HTML maliciosa (HTA) bajo el pretexto de completar una verificación de CaptCha y difundir el ransomware rojo Epsilon Red.
«El ransomware rojo de Epsilon, identificado por primera vez en 2021, deja una nota de rescate en las computadoras infectadas que se parece a la nota del ransomware Revil, aunque con mejoras gramaticales menores», dijo Cloudsek.
Según el grupo NCC, los ataques de ransomware en el segundo trimestre de 2025 cayeron un 43% a 1,180, una disminución de 2,074 en el primer trimestre de 2025. Qilin se ha convertido en el grupo de ransomware más activo durante el período de tiempo, liderando con 151 ataques con Akira en 131, jugando a 115, SAFPay en 108 y LYNX en 46. En All, un total de AttAd de 86, y un total de Attack de 86, y un total de Attack de 86, y un total de Attack de 86, y un total de Attack de All, un total de 86 grupos de Attal, en todo, un total de Attats. se estima que están activos en 2025.
«El volumen de víctimas que se exponen en los sitios de fuga de ransomware podría estar disminuyendo, pero esto no significa que las amenazas se reduzcan», dijo Matt Hull, jefe global de inteligencia de amenazas en NCC Group.
«Las represiones en la aplicación de la ley y el código fuente de ransomware filtrado es posiblemente un factor que contribuye a una caída en la actividad, pero los grupos de ransomware están utilizando esta oportunidad para evolucionar a través del cambio de marca y el uso de tácticas avanzadas de ingeniería social».
(La historia se actualizó después de la publicación para incluir ideas adicionales de Bitdefender y Trend Micro).