Talos ha detto che il caos è probabilmente ripristinato dal Ransomower di Blacksut o dagli ex membri del Blacksut. Le sue valutazioni relative alle somiglianze con i processi di crittografia nel riscatto, nei temi e nelle strutture delle note di riscatto, gli strumenti di osservazione e gestione remoti utilizzati per l’accesso alle reti target e la sua valutazione in base alle sue preferenze LolbinsWindone Lolbins ottiene i loro nomi perché binari che consentono agli aggressori di sfuggire alla terra.

Il post di Talos è stato pubblicato nello stesso momento in cui il sito Web oscuro relativo a Blacksut ha iniziato a visualizzare un messaggio che il sito è stato sequestrato sul compagno di controllo delle operazioni. Le agenzie che partecipano a Techtown includono la magistratura degli Stati Uniti, il Dipartimento per la sicurezza nazionale degli Stati Uniti, il servizio segreto degli Stati Uniti, la polizia nazionale olandese, l’ufficio di polizia penale dello stato tedesco, l’Organizzazione nazionale del Regno Unito, l’ufficio del procuratore generale di Francoforte, il dipartimento giudiziario, la cyber ucraina e l’Europa.



Screenshot

Il caos di solito ottiene l’accesso iniziale tramite Social Engineering utilizzando e -mail o tecniche di phishing vocale. Infine, la vittima ha accettato di contattare un rappresentante di protezione IT, in effetti, parte dell’operazione di riscatto. Microsoft Quick Assist, un membro del caos, indica l’obiettivo di lanciare un’attrezzatura a telecomando basata su Windows e connettersi all’ultimo punto dell’attaccante.

Il predecessore di Koos, Blacksuit è una ricostruzione della precedente operazione Ranswear nota come Royal. Royal, secondo Trend MicroUn gruppo Splinter del gruppo Ransomware della Contestia. Il cerchio dei gruppi ransomware continua.

Collegamento alla fonte