DragonForce, sofisticirana ransomware operacija koja se pojavila u jesen 2023. godine, pročula se kao ozbiljna prijetnja u cyber kriminalnom okruženju odnijevši preko 120 žrtava tokom protekle godine.
Za razliku od tradicionalnih modela ransomware-as-a-service, ovaj haker evoluirao je u ono što stručnjaci za sigurnost nazivaju “ransomware kartel”, fundamentalno mijenjajući način na koji su strukturirane i izvršene sajber kriminalne operacije.
Grupa je pokazala izuzetnu prilagodljivost, u početku djelujući s ransomware-om koji je dijelio karakteristike s LockBit 3.0 prije nego što je prešla na Conti varijantu tokom ljeta 2024.
DragonForce je strateški ciljao organizacije u različitim sektorima, uključujući proizvodnju, građevinarstvo, tehnologiju, zdravstvo i maloprodaju, a žrtve su se protezale kroz Sjedinjene Američke Države, Italiju i Australiju.
Njihovi zahtjevi za otkupninu odražavaju sofisticirano istraživanje žrtava, u rasponu od stotina hiljada do miliona dolara, s jednim dokumentovanim slučajem u kojem se od kompromitovane organizacije tražilo 7 miliona dolara.
Istraživači Bitdefendera identifikovali su jedinstveni operativni model DragonForce-a, koji ga razlikuje od konvencionalnih ransomware grupa kroz strukturu nalik kartelu i usluge pružanja infrastrukture.
Grupa nudi partnerima neviđenih 80% udjela u profitu, uz pružanje sveobuhvatne operativne podrške, uključujući upravljanje blogovima, datotečnim serverima, administratorskim panelima, 24/7 praćenje i petabajte prostora za pohranu podataka.
Ovaj pristup omogućava DragonForce-u da održi kontrolu nad resursima savezničkih grupa, a istovremeno eliminiše potencijalne konkurente.
Ovaj haker je pokazao zabrinutost zbog geopolitičkih veza, koristeći infrastrukturu povezanu s Rusijom i suočavajući se s optužbama članova RansomHuba za povezanost s FSB-om.
Njihova operativna sofisticiranost proteže se i na njihovu stranicu za otkrivanje curenja podataka, koja sadrži popise žrtava, preglede ukradenih podataka i odbrojavanje do rokova objavljivanja.
.webp)
Nedavne aktivnosti ukazuju na to da DragonForce možda konsoliduje moć unutar ekosistema ransomware-a, potencijalno ugrožavajući rivalske grupe, uključujući LockBit .
Napredne mogućnosti izbjegavanja i šifrovanja
DragonForce koristi sofisticirane tehničke mehanizme koji omogućavaju trajan pristup i sveobuhvatno kompromitovanje sistema.
Grupa iskorišćava više kritičnih ranjivosti, uključujući CVE-2024-21412, CVE-2024-21887 i CVE-2024-21893, kako bi uspostavila početne uporišta u ciljanim mrežama.
Njihova strategija istrajnosti uveliko se oslanja na tehnike “Živjeti izvan zemlje”, koristeći legitimne izvršne datoteke poput Schtasks.exe i Taskkill.exe kako bi održali pristup, a istovremeno izbjegli otkrivanje.
Mogućnosti šifrovanja ransomware-a obuhvataju više platformi sa specijalizovanim varijantama za Windows, Linux, ESXi, BSD i NAS sisteme.
Njihovi enkriptori podržavaju različite načine enkripcije, uključujući propusnik pojasa, postotak, zaglavlje i normalno enkripciju, s mogućnostima višenitnog rada za poboljšane performanse.
Nakon uspješnog izvršenja, maliciozni softver dodaje ekstenzije .dragonforce_encrypted kompromitovanim datotekama.
Grupa je uključila lekcije iz prethodnih operacija ransomware-a, posebno u vezi s metodama dešifrovanja GPU klastera, kako bi ojačala svoje algoritme za šifrovanje i mehanizme za sprječavanje oporavka datoteka na različitim operativnim sistemima.
Izvor: CyberSecurityNews