DragonForce: новая угроза в мире программ-вымогателей
Источник: www.sentinelone.com
Группа программ-вымогателей DragonForce, созданная в августе 2023 года, стремительно завоевала репутацию среди киберпреступников. Основываясь в Малайзии, она сочетает в себе черты политического хактивизма и финансовой мотивации, нацеливаясь как на государственные структуры, так и на коммерческие предприятия.
Активизация деятельности DragonForce
Недавние атаки со стороны этой группы привели к серьезным сбоям в работе крупных британских розничных сетей, таких как Harrods и Marks & Spencer. Основной ущерб был причинен критически важным бизнес-функциям, включая:
- Платежные системы
- Управление запасами
Методы доступа и уязвимости
DragonForce применяет несколько методов для доступа к целевым системам, включая:
- Фишинговые электронные письма
- Использование известных уязвимостей
- Утечку или кражу учетных данных
К ключевым уязвимостям, используемым группой, относятся:
- CVE-2021-44228 (Apache Log4j2)
- CVE-2023-46805 (Ivanti Connect Secure)
- Несколько уязвимостей, связанных с командным внедрением
Кроме того, DragonForce активно использует слабости в сервисах протокола удаленного рабочего стола (RDP) и конфигурациях VPN. В арсенале группы также имеются инструменты, такие как Cobalt Strike и mimikatz.
Эволюция программ-вымогателей
Архитектура полезной нагрузки программы-вымогателя снова эволюционировала, переходя от производных LockBit к более индивидуальным вариантам, основанным на кодовой базе Conti v3. Для шифрования данных используются алгоритмы AES и RSA. Также стоит отметить, что филиалы в экосистеме DragonForce могут разрабатывать индивидуальные варианты программ-вымогателей для различных платформ, включая:
- Windows
- Linux
Модель Ransomware-as-a-Service
DragonForce применяет модель Ransomware-as-a-Service (RaaS), предлагая своим партнерам все необходимые инструменты для проведения атак под собственным брендом. При этом прибыль распределяется следующим образом:
- 80% для партнера
- 20% для DragonForce
Эта стратегия позволяет группе расширять влияние в киберпреступной среде, обходя необходимость в непосредственном совершении преступлений.
Рекомендации по кибербезопасности
Учитывая активизацию DragonForce на фоне сокращения операций конкурентов, важность надежных мер кибербезопасности становится очевидной. Платформе SentinelOne Singularity рекомендовано уделить особое внимание профилактике атак программ-вымогателей, используя как поведенческие, так и статические методы обнаружения.
В условиях растущей угрозы со стороны таких групп, как DragonForce, эффективные стратегии упреждающего реагирования на инциденты становятся необходимостью для защиты цифровых систем.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
