DragonForce: эволюция программы-вымогателя и стратегия картеля
Источник: www.bitdefender.com
DragonForce — хакерская программа-вымогатель, появившаяся в конце 2023 года, быстро развившаяся из модели RaaS (Ransomware-as-a-Service) в крупный картель программ-вымогателей. В своем последнем отчёте эксперты по кибербезопасности описывают тактику, цели и особенности работы этой группы, которая уже успела нанести ущерб более чем 120 организациям по всему миру.
Происхождение и географическая принадлежность
Среди аналитиков изначально ходили слухи о связи DragonForce с одноимённой хактивистской группой из Малайзии. Однако текущие разведданные свидетельствуют, что организация, занимающаяся вымогательством, скорее всего, базируется не там. Основная инфраструктура группировки связана с Россией.
Операционная деятельность и цели
DragonForce сосредоточилась на расширении партнерской сети и активном росте операционной деятельности. К середине 2024 года группа заявляла более чем о 120 жертвах, представленых в таких секторах, как:
- производство;
- здравоохранение;
- технологии.
Размер требований о выкупе варьируется в зависимости от доходов организации-жертвы и может достигать 7 миллионов долларов. Такая масштабная стратегия вымогательства отражает высокий уровень организации и коммерческую ориентированность группы.
Технологические особенности и тактика атак
Технически DragonForce демонстрирует высокий уровень подготовки. Их вредоносные ПО, включая основной исполняемый файл dragonfroce.exe, нацелены на операционные системы Windows, Linux и ESXi. Среди ключевых особенностей атаки следует выделить:
- использование методов динамического шифрования, адаптированных под различные методы вымогательства;
- усовершенствование алгоритмов шифрования на основе опыта других успешных групп;
- множество вариантов первоначального доступа: эксплойты известных уязвимостей (
CVE-2024-21412,CVE-2024-21887,CVE-2024-21893), фишинг и раскрытие учетных данных; - запуск вредоносного кода через команды Windows CMD и перехват библиотек DLL;
- поддержка наличия внутри системы с помощью запланированных заданий и изменений скриптов PowerShell.
Особое внимание заслуживает их использование административных инструментов, таких как SimpleHelp. Этот прием, известный как «living off the land», предполагает применение легитимных приложений для обхода систем защиты и проникновения в сети поставщиков управляемых услуг. Такой подход становится все более популярным в современных кибератаках.
Функциональные возможности и инфраструктура
Кроме шифрования файлов, программа-вымогатель DragonForce обладает рядом дополнительных функций:
- удаление файлов;
- отслеживание времени работы атаки;
- обход средств защиты.
Группа управляет сайтом утечек данных, где документирует жертв и публикует похищенные материалы. Помимо этого DragonForce регулярно обновляет информацию о своих операциях и предлагает партнерам программы высокие вознаграждения.
Стратегия и перспективы развития
Поддержка партнеров и создание устойчивой инфраструктуры позволяют DragonForce не только укреплять своё влияние на рынке программ-вымогателей, но и обеспечивать оперативный обмен данными с другими преступными сетями.
Эксперты предупреждают о растущих возможностях группы и сохраняющейся угрозе для различного рода организаций, что делает её одним из наиболее опасных игроков в современной киберпреступности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
