Ransomware Chaos

Publicado hace 7 meses 31-10-2025

El ransomware Chaos se ha consolidado como una amenaza sofisticada que combinas tácticas de ingeniería social, abuso de herramientas legítimas y una estrategia de doble extorsión. Normalmente este ransomware busca primero obtener acceso inicial mediante campañas de phishing o llamadas telefónicas de ingeniería social conocidas como vishing. Una vez dentro del sistema Chaos busca escalar privilegios y se mueve lateralmente por la red, utilizando herramientas legítimas como AnyDesk o ScreenConnect, lo que les permite tomar el control del sistema e incluso pasar desapercibidos ante los sistemas de seguridad. 

Cuando consiguen establecer su presencia dentro de la red, los atacantes inician la exfiltración masiva de datos, copiando información crítica y almacenándola en servidores bajo su control. Posteriormente, ejecutan el cifrado o la corrupción de archivos en servidores, estaciones de trabajo y dispositivos de almacenamiento conectados, afectando tanto sistemas locales como entornos virtualizados. Esta combinación de robo y cifrado de datos, conocida como doble extorsión, aumenta la presión sobre las víctimas, ya que no solo se enfrentan a la pérdida de acceso a sus archivos, sino también a la amenaza de que su información confidencial sea publicada en caso de no pagar el rescate. 

 

Sitio de filtraciones del ransomware Chaos [1] 

Desde el punto de vista técnico, las variantes de Chaos muestran un alto nivel de complejidad, debido a que el ransomware realiza comprobaciones previas al ataque para detectar si se encuentra en entornos de análisis, máquinas virtuales o laboratorios y en caso de que se encuentre en alguno detiene su ejecución para evitar ser estudiado. Además, aplica un cifrado de archivos con claves únicas y emplea procesos optimizados que permiten afectar grandes volúmenes de información en poco tiempo.  

En cuanto a su alcance geográfico, los reportes de seguridad indican que Chaos ha concentrado la mayoría de sus ataques en países con una fuerte infraestructura digital y con empresas que manejan grandes volúmenes de datos. Entre los países más afectados se encuentran Estados Unidos, Germania, Pakistan, Sweden y Reino Unido Sin embargo, la lista de víctimas cambia constantemente y no siempre se hace pública, debido a que muchas organizaciones prefieren mantener la información reservada para evitar daños que perjudiquen su reputación. Los sectores más golpeados por Chaos suelen ser aquellos que manejan información crítica o dependen en gran medida de la continuidad de sus operaciones. Entre ellos destacan la tecnología, transporte, construcción, agricultura, alimentos y manufactura.  

Como estrategia general, el grupo parece evitar atacar ciertos objetivos que podrían generar repercusiones políticas o una respuesta directa por parte de las autoridades, como instituciones gubernamentales o infraestructuras críticas de países aliados. Esto demuestra un nivel de planificación más avanzado que el de otros grupos de ransomware. En definitiva, el éxito de Chaos se basa tanto en su capacidad técnica movimiento lateral, evasión de defensas y cifrado rápido, como en la manipulación humana mediante engaños y falsas comunicaciones. La mejor forma de prevenir este tipo de ataques es aplicar medidas de seguridad sólidas, como la autenticación multifactor, segmentación de redes, copias de seguridad desconectadas y la detección temprana de comportamientos anómalos, junto con planes de respuesta que incluyan recuperación de datos y comunicación efectiva para minimizar el impacto operativo.
 

Taxonomía  

Tactic 

ID 

Technique (ID) 

Initial Access 

T1566 

Phishing 

T1566.004 

Phishing: Spearphishing Voice 

T1078 

Valid Accounts  

Execution 

T1059.001 

T1059Command and Scripting Interpreter: PowerShell  

Persistence 

T1547.001 

Registry Run Keys / Startup Folder 

Priv. Esc. 

T1078.004 

Privileged Accounts  

Def. Evasion 

T1562.001 

Impair Defences  

T1070.001 

Indicator Removal: Clear Logs / Delete  

T1070.004 

Indicator Removal:  File Deletion 

Discovery 

T1012 

Query Registry  

T1016 

System Network Configuration Discovery 

Lateral Move 

T1021.001 

Remote Services: Remote Desktop Protocol 

T1021.002 

Remote Services: SMB/Windows Admin Shares 

Collection 

T1005 

Data from Local  

Command and Control 

T1090 

Proxy 

Exfiltration 

T1567 

Exfiltration Over Web Service 

Impact 

T1486 

Encrypt for Impact  

 

Indicadores de compromiso

IOC 

Tipo 

19f5999948a4dcc9b5956e797d1194f9498b214479d2a6da8cb8d5a1c0ce3267 

FileHash-SHA256 

2fb01284cb8496ce32e57d921070acd54c64cab5bb3e37fa5750ece54f88b2a4 

FileHash-SHA256 

5d3fcf6532c9ee5778753c3f13e71d1e3b157b49e56133bdff5d04d6e6d6c8be 

FileHash-SHA256 

76fde847037ca79c8e897fac9d80567efc4ec3a193ec3d8ae9c9fcd9e1ac4939 

FileHash-SHA256 

9521a154b06743fcb3a24b6b61ae0b4cbd1f1ba74d3d9cd9110042082d0b1d5c 

FileHash-SHA256 

bbf9ebbfd93306108299e54ecbfb59bb9433eeb34f89cef61864f4e87640eaf0 

FileHash-SHA256 

f200ea7ccc5c9b0eaada74046551ed18a3a9d11c9e87999b25e6b8ee55857359 

FileHash-SHA256 

f4b5b1166c1267fc5a565a861295a20cf357c17d75418f40b4f14b094409d431 

FileHash-SHA256 

fe717bab60f1b03012b1e6287e3f3725f1ad5163897041b824024aedabb7c46d 

FileHash-SHA256 

45.61.134.36 

IPv4 

160f60dc3fc9920cfc3847de4de2ef09 

FileHash-MD5 

87fd821b67a1f329548f222d81a55be7 

FileHash-MD5 

9113f4b245da32c75d61b467ee89e0b7 

FileHash-MD5 

21f974f224cef8bcaa194bed75f25ee28e1ca8d4 

FileHash-SHA1 

34a45f4172a355bf532185a83d0dd55df9794e91 

FileHash-SHA1 

bb73d57a43b27c11baf6f221ad17c0a83a08f752 

FileHash-SHA1 

11cfea4100ba3731d859148d2011c7225d337db22797f7e111c0f2876e986490 

FileHash-SHA256 

1d846592ffcc19ed03a34316520aa31369218a88afa4e17ac547686d0348aa5b 

FileHash-SHA256 

7c4b465159e1c7dbbe67f0eeb3f58de1caba293999a49843a0818480f05be14e 

FileHash-SHA256 

107.170.35.225 

IPv4 

144.172.103.42 

IPv4 

cd5df020000e93724880669c9daaeca26ecd56183667e630241aee095df16e1b 

FileHash-SHA256 

3082203c16b5c5459ae9fe55000b05a65dd143a4289934bc01dd773651698bc4 

FileHash-SHA256 

a64d9a528e1c5fc1d0a190c07d6d7571 

FileHash-MD5 

fb6c58eb6d6ee199ad61a5b7f2f3d574 

FileHash-MD5 

955a91c639b2664bcf2f69c1f985136eeba5b401 

FileHash-SHA1 

b9678933f670d9c5e3b19bd974631605eb4f3853 

FileHash-SHA1 

954d8fcd6b74d76999f9ec033ca855ffdab6595be23039f03bc4c6017fa3932c 

FileHash-SHA256 

Recomendaciones

  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

  • Limitar estrictamente el uso de los protocolos SMB y RDP. 

  • Realizar auditorías de seguridad. (NIST CSF, 2024) 

  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

  • Tener filtros de correo electrónico y spam. 

  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

  • Realizar copias de seguridad, respaldos o back-ups constantemente. 

  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

  • Revisar continuamente los privilegios de los usuarios. 

  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

  • Habilitar la autenticación multifactor. 

Referencias

  1. Bennett, A. (2025, Julio 31). Unmasking the new Chaos RaaS group attacks. Cisco Talos Blog. Recuperado el 28 de Octubre del 2025, en: https://blog.talosintelligence.com/new-chaos-ransomware/ 
  2. Coker, J. (2025, Octubre 27). New Chaos Ransomware Emerges, Launches Wave of Attacks. Infosecurity Magazine.Recuperado el 28 de Octubre del 2025, en: https://www.infosecurity-magazine.com/news/chaos-ransomware-wave-attacks/ 
  3. The Hacker News. (2025, Julio 29). Chaos RaaS Emerges After BlackSuit Takedown, Demanding $300K from U.S. Victims. Recuperado el 28 de Octubre del 2025, en: https://thehackernews.com/2025/07/chaos-raas-emerges-after-blacksuit.html 
  4. Chaos Ransomware Variant Sides with Russia | FortiGuard Labs. (2022, Mayo 18). Fortinet Blog. Recuperado el 28 de Octubre del 2025, en: https://www.fortinet.com/blog/threat-research/chaos-ransomware-variant-sides-with-russia 

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026

Microsoft ha publicado detalles sobre una vulnerabilidad de alta severidad en SharePoint Server que puede permitir la ejecución remota de código y comprometer entornos empresariales que usan implementaciones on‑premises. Registrada como CVE-2026-45659 y catalogad......

Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026

TeamPCP es un grupo presente desde 2025, el cual se especializa en infraestructura en la nube. Se enfoca en ejecutar ataques a cadena de suministro en varias etapas, adaptándose a los diferentes sistemas. El grupo ha conseguido afectar ecosistemas completos, así com......

Campaña de Phishing a través de Teams (Orígenes externos)
Publicado hace 3 semanas 26-05-2026

...

BOLETINES RECIENTES

...
ShinyHunters explota zero-day en Oracle PeopleSoft (CVE-2026-35273) y filtra datos de instituciones educativas
Publicado hace 1 día 16-06-2026
Leer más
...
Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026
Leer más
...
Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026
Leer más