Chaos RaaS ハッカーグループ

新たに出現したRansomware-as-a-Service（RaaS）オペレーション「Chaos」が脅威ランドスケープに登場し、サイバーセキュリティコミュニティに警鐘を鳴らしています。2025年2月に初めて確認されたChaosは、BlackSuitクルーの元メンバーと密接な関係があるようです。BlackSuitクルーのダークウェブインフラは、最近Operation Checkmateで法執行機関によって解体されました。Chaosはその名前にもかかわらず、YashmaやLucky_Gh0$tといった以前のChaosランサムウェア開発者とは無関係であり、既に複雑な脅威に意図的な混乱をもたらしています。

混沌の戦術：スパムからソーシャルエンジニアリングまで

Chaosアクターが用いる攻撃チェーンは、低労力のスパムフラッディングから始まり、すぐにボイスフィッシング（ヴィッシング）へとエスカレートします。脅威アクターはこれらの手法を用いて、標的を誘導し、リモートデスクトップソフトウェア、特にMicrosoft Quick Assistをインストールさせることで、初期アクセスを獲得します。

侵入後、攻撃者はAnyDesk、ScreenConnect、OptiTune、Syncro RMM、Splashtopといったリモート監視・管理（RMM）ツールを駆使し、侵入先のネットワークを永続的に制御します。侵入後の活動には、認証情報の収集、PowerShellイベントログの削除、セキュリティツールの削除などがあり、検知・対応能力を弱体化させます。

大物狩りと二重の恐喝

Chaosは、二重の恐喝手法を用いて高価値企業を標的とする、いわゆる「大物狩り」戦略を採用しています。これは、ファイルを暗号化するだけでなく、身代金を支払わなければ盗んだデータを漏洩すると脅迫することを意味します。このグループは、正規のファイル同期ソフトウェアであるGoodSyncを利用して機密データを盗み出し、ランサムウェアのペイロードを起動します。

最終段階では、ローカルリソースとネットワークリソースの両方を迅速に暗号化できるマルチスレッドランサムウェアバイナリを展開します。さらに復旧作業を困難にし、検出を回避するために、ランサムウェアは仮想マシン、デバッグツール、自動サンドボックス、その他の脅威分析環境に対する防御を含む、高度な分析回避戦術を採用しています。

クロスプラットフォームの互換性と高額な身代金

Chaosランサムウェアは、Windows、Linux、ESXi、NASシステムで動作することが確認されており、その汎用性の高さが際立っています。攻撃者は、復号ツールと、攻撃チェーンとセキュリティ推奨事項を含む「詳細な侵入概要」とされる情報と引き換えに、通常約30万ドルという高額の身代金を要求します。

既知の被害者のほとんどは米国に拠点を置いており、米国がこの進化する脅威の主な標的地域となっています。

過去の残響：混沌とブラックスーツのつながり

Chaosは新しい名前ですが、その手法とインフラストラクチャには明確な系譜が見られます。アナリストは、BlackSuitの活動との強い重複を指摘しており、以下のような類似点が見られます。

• 暗号化コマンド
• 身代金要求書の構成と文面
• 同一のRMMツールの使用

これは重要な意味を持ちます。なぜなら、BlackSuit自体は、悪名高いランサムウェアシンジケートContiから派生したRoyalのリブランディングだったからです。こうしたアイデンティティの変化は、これらの脅威アクターが法執行機関の脅威に先んじ、活動の勢いを維持するために、どのようにリブランディングと組織再編を行っているかを示しています。

チェックメイト作戦：法執行機関の戦術的勝利

Chaosの出現は、BlackSuitのダークウェブインフラの閉鎖という法執行機関の大きな勝利と時を同じくしています。押収されたサイトにアクセスした訪問者は、米国国土安全保障省捜査局によるスプラッシュページを閲覧し、国際的な協調的取り組みの一環としてサイトが押収されたことを宣言します。しかし、当局はこの作戦に関する公式声明をまだ発表していません。

最終的な考察：混沌は洗練と欺瞞をもたらす

Chaosは、洗練された技術と欺瞞的なブランディングが融合した危険な存在です。正規ツール、標的型攻撃、そして検知回避戦略を巧みに利用することで、深刻な脅威となっています。組織は警戒を怠らず、マルウェア自体だけでなく、その初期の成功を可能にするソーシャルエンジニアリング戦術に対する防御を強化する必要があります。