Um novo e alarmante operador de ransomware identificado como Chaos está por trás de uma série de ataques coordenados contra organizações de diversos setores ao redor do mundo. Segundo alerta da Cisco Talos, a campanha vem se intensificando desde fevereiro de 2025, atingindo principalmente vítimas nos Estados Unidos, com incidentes também reportados no Reino Unido, Nova Zelândia e Índia.
Com foco em ataques de alto impacto, conhecidos como “caça a grandes animais” (big-game hunting), o grupo opera com uma estrutura de dupla extorsão: além de criptografar os dados, ameaça vazar informações sensíveis e realizar ataques DDoS contra as vítimas que se recusarem a pagar os resgates exigidos. O modelo revela uma escalada preocupante nas estratégias de pressão utilizadas por cibercriminosos.
Chaos: um ransomware novo, mas com DNA conhecido
Embora o Chaos seja uma novidade no cenário global, sua assinatura já levanta suspeitas de uma possível origem experiente. Pesquisadores da Cisco avaliam com moderada confiança que os responsáveis podem ser ex-integrantes das notórias gangues BlackSuit e Royal. A suspeita se baseia em similaridades na metodologia de criptografia, estrutura das notas de resgate e no conjunto de ferramentas utilizadas nos ataques.
O grupo se posiciona como uma operação de Ransomware-as-a-Service (RaaS), promovendo ativamente sua plataforma em fóruns clandestinos como o RAMP (Ransom Anon Market Place), na dark web russa. Lá, buscam novos afiliados, mas deixam claro que não aceitam colaboração com países BRICS/CEI (incluindo a Rússia), nem com hospitais ou entidades governamentais.
Ataques com engenharia social e exploração de ferramentas legítimas
Um dos pontos mais sofisticados das investidas do Chaos está em sua abordagem inicial de comprometimento. Utilizando uma combinação de e-mails de phishing e chamadas telefônicas (vishing), os atacantes convencem funcionários a iniciar sessões de assistência remota via Microsoft Quick Assist, funcionalidade nativa do Windows.
Depois de obter acesso, os agentes realizam uma série de ações para reconhecimento e preparação do ambiente, empregando comandos e scripts para implantar malware e se conectar a servidores de comando e controle (C2). Para garantir persistência e dificultar a detecção, ferramentas legítimas de acesso remoto como AnyDesk, ScreenConnect e o software de sincronização GoodSync são amplamente utilizados.
O grupo também se empenha em apagar rastros: logs do PowerShell são removidos, sistemas de autenticação multifator (MFA) são desabilitados e aplicativos de segurança, desinstalados. Em seguida, os arquivos são criptografados seletivamente, com a extensão “.chaos” adicionada aos arquivos afetados, acelerando o processo e evitando detecções automatizadas.
Nova tática de negociação com “recompensa” e “punição”
A atuação do Chaos também se destaca pela inovação no modelo de extorsão. Em vez de apenas ameaçar a divulgação de dados, o grupo introduziu uma abordagem de incentivo financeiro: oferece uma “recompensa” adicional a quem pagar o resgate dentro do prazo, como um relatório detalhado de segurança e um software de descriptografia exclusivo.
Entretanto, a recusa em pagar leva a uma “punição” escalonada. As ameaças incluem:
- Divulgação pública dos dados roubados;
- Execução de ataques DDoS contra os serviços online da vítima;
- Divulgação do incidente a concorrentes e clientes, buscando danos reputacionais.
Um caso documentado pela Cisco mostra que a gangue exigiu US$ 300 mil para fornecer o descriptador e excluir permanentemente os dados roubados.
Capacidade técnica e impacto potencial
O ransomware Chaos possui compatibilidade com múltiplas plataformas — incluindo Windows, Linux, servidores ESXi e dispositivos NAS — e implementa criptografia rápida com chaves individuais por arquivo. Sua capacidade de escanear redes locais e explorar vulnerabilidades conhecidas o posiciona como uma ameaça altamente versátil e eficaz.
O uso de ferramentas legítimas para fins maliciosos demonstra um nível avançado de sofisticação, o que exige uma revisão das estratégias de defesa corporativas, especialmente em relação ao monitoramento de aplicações de assistência remota e políticas de engenharia social.
Alerta ao setor corporativo: risco não segmentado
Diferentemente de outras campanhas cibercriminosas que visam setores específicos, como saúde ou finanças, o Chaos adota uma postura oportunista. Alvos são definidos com base em vulnerabilidades e no potencial de extração financeira, e não por indústria. Essa abordagem exige vigilância contínua e educação de usuários finais em todos os níveis corporativos.
Um lembrete da evolução constante das ameaças
O surgimento do Chaos evidencia a constante transformação do ecossistema de ciberameaças. Com uma combinação de engenharia social, extorsão dupla e táticas psicológicas de negociação, o grupo desafia não apenas as defesas técnicas das organizações, mas também sua capacidade de reação diante de crises reputacionais e operacionais.
Empresas devem revisar com urgência seus planos de resposta a incidentes, treinar equipes de atendimento para detectar fraudes de engenharia social e reforçar suas políticas de acesso remoto e monitoramento de comportamento anômalo.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Cibersegurança!
