Cisco Talos alerta sobre un nuevo ransomware dirigido a sectores críticos
Publicado por Redacción Portal ERP España en 24/07/2025 en IT SecurityCompartir:
El grupo 'Chaos' opera con técnicas avanzadas de acceso remoto y doble extorsión
Foto: cortesía. Portal ERP España.
Cisco Talos, la división de ciberinteligencia de Cisco, ha publicado una investigación que revela la actividad de un nuevo grupo de ransomware conocido como ‘Chaos’, que ya ha iniciado ataques contra múltiples organizaciones en Estados Unidos. Según el informe, esta nueva campaña afecta a sectores críticos como tecnología, seguros, fabricación, logística, servicios de alimentos y organizaciones no gubernamentales (ONGs).
Se trata de una operación de ransomware como servicio (RaaS), centrada en lo que se conoce como big-game hunting y doble extorsión, es decir, ataques dirigidos a grandes objetivos y acompañados de amenazas de divulgar los datos robados si no se paga el rescate.
Aunque el grupo lleva el nombre de anteriores variantes asociadas al llamado ‘Chaos builder’, Cisco Talos aclara que no guarda relación con aquel malware. De hecho, la similitud en el nombre parece ser una estrategia deliberada para generar confusión entre los equipos de ciberseguridad y dificultar su detección.
Te puede interesar: Los ciberataques automatizados alcanzan niveles récord
Cisco Talos señala que este nuevo grupo podría ser una operación renombrada del ransomware BlackSuit (anteriormente conocido como Royal) o incluso una escisión surgida de esa misma organización criminal. Talos ya había identificado a BlackSuit como uno de los grupos con mayor volumen de ataques en el panorama actual.
En cuanto a las técnicas empleadas, el informe destaca el uso de un enfoque escalonado. El acceso inicial a las redes de las víctimas se consigue mediante campañas de spam de bajo esfuerzo, seguidas de técnicas de ingeniería social por voz para facilitar el despliegue del ransomware.
Una vez dentro de los sistemas, los atacantes utilizan herramientas legítimas de administración remota para mantener el acceso y el control. Entre estas se encuentran AnyDesk, ScreenConnect, Syncro, OptiTune y Splashtop Streamer.
Además, para la exfiltración de datos, emplean el software de respaldo GoodSync, que permite desviar la información robada hacia servicios de almacenamiento en la nube bajo el control del grupo atacante.
La investigación de Cisco Talos alerta sobre la sofisticación técnica y operativa de este nuevo actor, que, pese a su nombre aparentemente conocido, representa una amenaza diferenciada que requiere atención específica por parte de las organizaciones y sus equipos de seguridad.
