وقال تالوس إن الفوضى من المحتمل إما إعادة تسمية من فدية السود أو يتم تشغيلها من قبل بعض أعضاء السود السابقين. استندت Talos إلى تقييمها على أوجه التشابه في آليات التشفير في برنامج Ransomware ، وموضوع وهيكل ملاحظات Ransom ، وأدوات المراقبة والإدارة عن بُعد المستخدمة للوصول إلى الشبكات المستهدفة ، واختيارها من Lolbins – وهي عبارة عن ملفات قابلة للتنفيذ موجودة أصليًا في بيئات Windows. يحصل Lolbins على اسمهم لأنهم ثنائيات تسمح للمهاجمين بالعيش خارج الأرض.
تم نشر منشور Talos في نفس الوقت الذي بدأ فيه موقع الويب المظلم الذي ينتمي إلى Blacksuit عرض رسالة تقول إن الموقع قد تم الاستيلاء عليه في عملية Checkmate. وشملت المنظمات التي شاركت في عملية الإزالة وزارة العدل الأمريكية ، ووزارة الأمن الداخلي الأمريكي ، والخدمة السرية الأمريكية ، والشرطة الوطنية الهولندية ، ومكتب الشرطة الجنائية في الولاية الألمانية ، ووكالة الجريمة الوطنية في المملكة المتحدة ، ومكتب فرانكفورت العام العام ، ووزارة العدل ، وشرطة الإنترنت الأوكرانية ، واليوروبول.
لقطة شاشة
عادة ما تكتسب الفوضى الوصول الأولي من خلال الهندسة الاجتماعية باستخدام تقنيات البريد الإلكتروني أو الصيد الصوتي. في النهاية ، يتم إقناع الضحية بالاتصال بممثل أمن تكنولوجيا المعلومات ، والذي ، في الواقع ، هو جزء من عملية الفدية. يرشد عضو Chaos الهدف لإطلاق Microsoft Quick Assist ، وهي أداة مساعدة عن بُعد مدمجة في Windows ، والاتصال بنقطة النهاية للمهاجم.
سلف Chaos ، Blacksuit ، هو إعادة تسمية عملية فدية سابقة تعرف باسم Royal. Royal ، وفقًا لـ Trend Micro ، هي مجموعة منشقة من مجموعة Conti Ransomware. تستمر مجموعات دائرة الفدية.
