Dragon RaaS: Угроза программ-вымогателей и новые методы атак

Источник: www.sentinelone.com
Dragon RaaS, также известная как DragonRansom или Dragon Team, представляет собой группу программ-вымогателей, возникшую в июле 2024 года. Эта группа стала ответвлением Stormous group, которая является частью более крупного киберпреступного синдиката, известного как «Пять семей». В отличие от традиционных методов вымогательства, Dragon RaaS сочетает в себе элементы хактивизма и киберпреступности, отдавая предпочтение оппортунистическим атакам.
Целевые объекты и география атак
Dragon RaaS в первую очередь нацелена на небольшие организации с уязвимыми методами обеспечения безопасности. Злоумышленники получают доступ к системам с помощью:
- Ошибок неправильной настройки;
- Атак с использованием грубой силы;
- Использования украденных учетных данных.
Географически группа сосредоточена в основном в следующих странах:
- Соединенные Штаты;
- Израиль;
- Великобритания;
- Франция;
- Германия.
Методы атак и используемое ПО
Операционная система Dragon RaaS использует веб-платформу управления для развертывания и настройки программ-вымогателей в режиме реального времени, уделяя особое внимание защите конфиденциальности. Атаки проводятся с использованием различных методов эксплуатации:
- Уязвимости в веб-приложениях;
- Ошибки обхода каталогов;
- Уязвимости удаленного выполнения кода;
- Возможности внедрения команд.
После проникновения в систему злоумышленники развертывают веб-оболочку на PHP, которая используется для манипулирования файлами, их шифрования и обеспечения постоянного доступа к скомпрометированной среде. Dragon RaaS использует два основных вида программ-вымогателей:
- Веб-оболочка на основе PHP: манипулирует файлами на зараженных серверах, шифруя их с помощью AES-256 в режиме CBC.
- Шифровальщик, ориентированный на Windows: создан на основе StormCry, упакованный в исполняемые файлы Win32 и использует предопределенный список расширений для шифрования файлов.
Тактики и стратегии
Dragon RaaS разрабатывает операции, которые объединяют кражи и сбои в работе с вымогательством, порчу данных также считается важной частью их деятельности. Группа активно отслеживает организации, сохраняя свое присутствие на форумах и в Telegram, где они делятся информацией о своих атаках.
Рекомендации по защите
Для противодействия угрозам со стороны Dragon RaaS, организациям рекомендуется:
- Повысить безопасность общедоступных приложений;
- Регулярно применять исправления и обновления;
- Развертывать надежные решения для защиты конечных точек.
Одним из эффективных решений является Singularity от SentinelOne, которое обладает возможностями обнаружения и предотвращения вредоносных технологий, связанных с Dragon RaaS. Это подчеркивает важность упреждающих мер безопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



