骇客组织遭受执法单位的压力，在即将遭到围剿的前夕另起炉灶，这样的情况不时传出，例如，7月宣布关闭业务的勒索软件骇客组织Hunter International，今年初传出已使用World Leaks的名号成立新的团队，如今有另一个兴起的勒索软件Chaos，很可能就是近期执法单位出手的勒索软件BlackSuit（Royal）前成员组成。

思科旗下的威胁情报团队Talos近期揭露Chaos的攻击手法，这些骇客通常运用洪水式垃圾邮件攻击手法接触受害者，藉着语音网钓得到受害组织的初期存取管道，并滥用远端管理工具（RMM）持续连线，以及透过文件共享软件外传窃得资料，这些骇客声称，他们大部分的受害组织位于美国，但英国、纽西兰、印度也有企业组织受害。

针对攻击者的身分，Talos指出，这个骇客组织与先前使用相同名称的殭尸网路没有直接关联，他们根据勒索软件加密机制、勒索讯息的结构、骇客使用的工具集，推测Chaos可能是BlackSuit前成员组成的新团体。巧合的是，这篇调查报告发布的时间，同一天传出跨国执法行动Operation Checkmate当中，执法机关成功接管了BlackSuit暗网网站，参与行动的资安业者Bitdefender指出，自2023年夏天出现的BlackSuit，迄今已有至少185个企业组织受害，部分企业组织付出超过200万美元的赎金。其中一起大型攻击事故，是去年6月日本角川集团遭到攻击，导致多项业务中断。

此骇客组织约自今年2月出现，他们透过俄罗斯网路犯罪论坛Ransom Anon Market Place（RAMP）寻找加盟主，并以租用模式提供勒索软件（Ransomware-as-a-Service，RaaS），号称他们的作案工具能用于攻击Windows、macOS、Linux作业系统，也可对网路储存设备发动攻击，具有独特的文件加密金钥，极为快速的文件加密能力，并能扫描网路环境的所有设备。

Chaos提供加盟主自动化的管理主控台，并明确禁止攻击金砖国家（BRIICS）与独立国家国协（CIS）成员国，以及政府机关、医疗机构。

若是受害组织的文件遭到加密，这些骇客留下的勒索讯息里，会声称他们是进行专业的资安测试，并成功达到目的，导致系统防护失效，该组织声称已下载了所有内部机密资料，假如受害组织不予理会或是不付赎金，他们将会外流资料。

一般来说，这些骇客会向受害组织索讨30万美元赎金，假若付钱，受害组织不仅会得到解密工具，骇客还会提供渗透测试报告，并保证他们不会重複发动攻击，也会将窃得资料删除。若是受害组织不愿向骇客低头，对方就会扬言将资料外洩的消息散布给受害组织的竞争对手与客户，并对受害组织网路上的服务发动DDoS攻击。