Cisco Talos ha identificado una campaña de ransomware en expansión atribuida a un nuevo grupo denominado Chaos, que ha iniciado ataques dirigidos contra organizaciones en Estados Unidos. La investigación, publicada este 24 de julio, apunta a que la operación estaría vinculada a la infraestructura del ransomware Blacksuit —anteriormente conocido como Royal—, o podría tratarse de una reconfiguración del mismo grupo.
Según el análisis de Cisco Talos, unidad de ciberinteligencia de la compañía, el grupo Chaos se presenta como un operador de ransomware como servicio (RaaS) y adopta métodos típicos del big-game hunting, centrando sus esfuerzos en entidades de alta relevancia. Entre las víctimas recientes se encuentran organizaciones de los sectores tecnológico, asegurador, manufacturero, logístico, alimentario y organizaciones no gubernamentales.
Aunque el nombre Chaos ya ha sido utilizado anteriormente para campañas vinculadas al constructor de malware Chaos builder, Talos destaca que no existe relación directa con esos códigos previos. De hecho, esta coincidencia nominal podría estar siendo empleada deliberadamente para entorpecer las labores de detección y atribución de los equipos de seguridad, creando confusión entre analistas que ya conocían las anteriores variantes.
Ataques con ingeniería social y persistencia remota
El vector de entrada de los ataques documentados por Talos se inicia con campañas de correo electrónico no sofisticadas, que buscan obtener acceso inicial a los sistemas mediante técnicas de ingeniería social. Una vez dentro, los operadores emplean llamadas telefónicas para reforzar la credibilidad del ataque y facilitar el despliegue del ransomware, en una técnica conocida como vishing.
Uno de los elementos destacados en esta operación es el uso de aplicaciones legítimas de administración remota para mantener el control sobre los dispositivos comprometidos. Las herramientas observadas en los sistemas atacados incluyen AnyDesk, ScreenConnect, Syncro, OptiTune y Splashtop Streamer. Esta táctica permite a los atacantes operar sin levantar sospechas, al aprovechar utilidades que suelen estar presentes en entornos empresariales.
Además, para la exfiltración de datos, el grupo ha utilizado el software de respaldo GoodSync, que permite sincronizar archivos con ubicaciones remotas. En este caso, la información sustraída se transfiere a servicios de almacenamiento en la nube controlados por los propios atacantes, facilitando tanto el robo como la amenaza posterior de publicación, una estrategia habitual en esquemas de doble extorsión.
Posible rebranding de una infraestructura existente
El informe de Talos no confirma la identidad exacta de los responsables, pero sí establece coincidencias técnicas y operativas con el grupo Blacksuit. Esta organización, que en su momento surgió del entorno del ransomware Royal, ha sido clasificada por Cisco como una de las que mayor volumen de ataques ha desarrollado en los últimos meses.
El uso compartido de infraestructura, metodologías de intrusión y patrones de conducta sugiere que Chaos podría ser una evolución o escisión de dicha operación. Este tipo de rebranding no es infrecuente en el entorno del cibercrimen organizado, donde los grupos cambian de identidad para evadir sanciones, dificultar el rastreo y relanzar sus actividades con menor presión mediática o técnica.
Riesgos para sectores empresariales y medidas de mitigación
La diversificación de sectores afectados —que incluye desde fabricantes hasta entidades sin ánimo de lucro— confirma que el grupo no limita su actividad a industrias específicas. Tal comportamiento exige una respuesta preventiva transversal por parte de las empresas, que deben revisar sus protocolos de autenticación, segmentación de redes y detección de movimientos laterales dentro de sus sistemas.
El uso de software legítimo por parte de los atacantes pone de relieve la necesidad de reforzar los controles sobre herramientas de administración remota, cuya presencia en redes corporativas puede representar un punto débil si no está debidamente gestionado.
Cisco Talos recomienda revisar detalladamente los logs de acceso, establecer autenticación multifactor robusta y mantener una política de mínima exposición de servicios remotos. Asimismo, se señala la importancia de aplicar segmentación de red y monitorización continua, especialmente en entornos que utilizan soluciones de respaldo automatizado o servicios en la nube.
Contexto en la evolución del ransomware como servicio
La operación Chaos se enmarca en una tendencia más amplia del ecosistema RaaS, donde grupos criminales ofrecen sus herramientas a terceros afiliados a cambio de una parte de los beneficios. Esta modalidad descentralizada ha ampliado significativamente la superficie de ataque global, permitiendo que actores con baja sofisticación técnica ejecuten campañas complejas gracias al soporte de infraestructuras desarrolladas profesionalmente.
El modelo de doble extorsión —cifrado de datos más amenaza de filtración pública— se mantiene como la estrategia predominante en estos esquemas. Talos subraya que los atacantes no solo encriptan archivos, sino que también exfiltran información sensible, aumentando la presión sobre las víctimas para que paguen el rescate.
Este caso añade una capa más al complejo panorama del ransomware actual, caracterizado por una fragmentación creciente de grupos y el reciclaje de marcas y técnicas. La identificación precisa de actores requiere no solo el análisis técnico del malware, sino también el estudio de sus tácticas, infraestructura de soporte y patrones de comportamiento.
