Talos dijo que el caos probablemente sea un cambio de marca del ransomware negro o es operado por algunos de los antiguos miembros del traje negro. Talos basó su evaluación en las similitudes en los mecanismos de cifrado en el ransomware, el tema y la estructura de las notas de rescate, las herramientas remotas de monitoreo y administración utilizadas para acceder a redes específicas y su elección de lolbins, significan archivos ejecutables que se encuentran de forma nativa en entornos de Windows, para comprometer objetivos. Lolbins obtiene su nombre porque son binarios que permiten a los atacantes vivir de la tierra.
El Talos Post se publicó aproximadamente al mismo tiempo que el sitio web oscuro que pertenece a BlackSuit comenzó a mostrar un mensaje que decía que el sitio había sido incautado en la Operación Checkmate. Las organizaciones que participaron en el derribo incluyeron el Departamento de Justicia de los Estados Unidos, el Departamento de Seguridad Nacional de los Estados Unidos, el Servicio Secreto de los Estados Unidos, la Policía Nacional Holandesa, la Oficina de Policía Criminal del Estado Alemán, la Agencia Nacional del Crimen del Reino Unido, la Oficina del Fiscal General de Frankfurt, el Departamento de Justicia, la Policía Cibernética Ucrania y Europol.
Captura de pantalla
El caos generalmente obtiene acceso inicial a través de ingeniería social utilizando técnicas de correo electrónico o phishing de voz. Finalmente, la víctima es persuadida de contactar a un representante de seguridad de TI, quien, de hecho, es parte de la operación de ransomware. El miembro del Chaos instruye al objetivo de lanzar Microsoft Quick Assist, una herramienta de asistencia remota integrada en Windows y conectarse al punto final del atacante.
El predecesor del caos, BlackSuit, es un cambio de marca de una operación de ransomware anterior conocida como Royal. Royal, según Trend Micro, es un grupo Splinter del grupo de ransomware Conti. El círculo de grupos de ransomware continúa.