DragonForce: эволюция программы-вымогателя и новые методы атаки
DragonForce: новый этап развития программ-вымогателей и методы противодействия угрозам
Программа-вымогатель DragonForce появилась в 2023 году и быстро заняла значимое место в арсенале киберпреступников. Работая по модели Ransomware as a Service (RaaS), она предоставляет аффилированным лицам пользовательскую и гибкую инфраструктуру для проведения атак в различных сферах. От политически мотивированных действий злоумышленники перешли к масштабным финансовым вымогательствам, что сделало DragonForce заметным игроком в мире киберугроз.
Особенности и география атак DragonForce
Гибкость платформы позволила злоумышленникам адаптировать программу-вымогатель под нужды различных секторов экономики:
- Розничная торговля
- Финансовый сектор
- Производственные предприятия
При этом масштабы деятельности DragonForce охватывают такие регионы, как Северная Америка, Европа и Азия, что свидетельствует о глобальном характере угрозы.
Использование законных инструментов для достижения злонамеренных целей
Аналитики безопасности отмечают, что злоумышленники часто внедряют в атаки инструменты удаленного управления, такие как Splashtop и TeamViewer. Их применение позволяет получить постоянный скрытый доступ к скомпрометированным системам, упрощая управление заражённой инфраструктурой и минимизируя риски обнаружения.
Для выявления таких атак разрабатываются специализированные пакеты поиска угроз. Они концентрируются на следующих аспектах:
- Обнаружение несанкционированных или переименованных установок TeamViewer через анализ DNS-запросов и исключение легитимных путей
- Анализ исполняемых файлов для разделения установочных файлов, двоичных файлов служб и приложений с целью выявления нарушений политики использования
- Мониторинг значений реестра и аргументов командной строки, связанных с Atera Agent и AnyDesk — другими популярными инструментами удалённого доступа
Методы обеспечения сохраняемости и сокрытия активности
Злоумышленники применяют разнообразные тактики для сохранения доступа и ухода от детекции:
- Манипуляции с папками автозагрузки и ключами реестра, где подозрительные имена и пути сигнализируют о возможном вредоносном поведении
- Отслеживание процессов PowerShell с подозрительными параметрами — например, изменением Execution Policy, запуском в скрытом режиме и сетевой активностью
- Мониторинг изменений UEFI bootkit через средства командной строки bcdedit для контроля конфигурации загрузки системы
Тактика уничтожения следов и предотвращения восстановления
Одной из характерных черт действий программ-вымогателей, включая DragonForce, является удаление теневых копий Windows перед шифрованием данных. Для этого злоумышленники используют команды PowerShell и vssadmin. Такой подход препятствует восстановлению информации и затрудняет расследования инцидентов.
Выводы
Программа-вымогатель DragonForce демонстрирует, как эволюция киберугроз связана с переходом к коммерчески ориентированным моделям и применением легитимных инструментов для криминальных целей. Использование RaaS-модели позволяет злоумышленникам эффективно масштабировать свои операции, а развитие методов обнаружения и мониторинга — ключ к противодействию данным атакам.
В условиях постоянно меняющихся тактик хакеров критически важно совершенствовать системы обнаружения, уделять внимание анализу поведения процессов и расширять инструментарий по мониторингу установленных программ и конфигураций системы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
