Comportamento Caótico

A Rapid7 publicou um relatório vinculando um ataque conduzido sob a marca Chaos a atividades que se sobrepõem às operações conhecidas da MuddyWater.

Durante a campanha, os atacantes enviaram e-mails alegando ter roubado dados e forneceram um link para um site .onion para negociações. Mais tarde, uma listagem relacionada concerning a organização vítima apareceu no DLS do grupo de ransomware. A análise da infraestrutura da organização não revelou evidências de implantação de ransomware, mas os investigadores descobriram um loader e um trojan de acesso remoto (RAT) assinado com um certificado anteriormente acreditado estar vinculado às operações da MuddyWater.

O caso demonstra que o ransomware pode ser usado não apenas para ganho financeiro, mas também como cobertura para operações provavelmente associadas a grupos apoiados pelo estado. Esta abordagem ecoa uma campanha previamente discutida durante os protestos no Irã: os atacantes combinam métodos técnicos com exploração de contexto e confiança, seja através de narrativas políticas ou outras formas de coerção. Como resultado, os ataques tornam-se menos diretos, tornando a detecção e atribuição mais difíceis.