СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
25 мая
#ИБ

DragonForce: RaaS-картель атакует бизнес через RDP и VPN

DragonForce — это оператор программы двойного вымогательства в формате Ransomware-as-a-Service (RaaS), появившийся в конце декабря 2023 года и быстро закрепившийся в числе заметных и активно развивающихся киберугроз. Группа действует исключительно ради финансовой выгоды и уже атаковала более 400 жертв, преимущественно в странах Запада с высоким ВВП, особенно в United States.

На какие отрасли нацелены атаки

По данным отчета, DragonForce наиболее активно атакует компании в следующих секторах:

  • production
  • business services
  • technology
  • construction
  • healthcare

Для проникновения в инфраструктуру жертв злоумышленники используют несколько векторов атаки:

  • phishing campaigns;
  • эксплуатацию известных уязвимостей;
  • bruteforce-атаки, прежде всего против Remote Desktop Protocol (RDP) и VPN-services.

Как работает DragonForce

DragonForce применяет техники living-off-the-land вместе с вредоносными загрузками, включая custom-версии ransomware LockBit и Conti. Такой подход позволяет группе использовать легитимные системные инструменты наряду с вредоносным code execution, усложняя обнаружение активности в скомпрометированной среде.

Ключевая особенность модели DragonForce — double extortion. Злоумышленники не только шифруют данные, но и похищают confidential information, угрожая раскрыть ее в случае отказа от выплаты выкупа. Это создает для организаций двойное давление: необходимость восстанавливать работу и одновременно снижать риск публикации чувствительных данных.

«Методология двойного вымогательства не только шифрует данные, но и похищает конфиденциальную информацию, угрожая раскрыть ее, если выкуп не будет выплачен».

Партнерская модель и рост масштаба атак

Отдельное внимание в отчете уделяется тому, что DragonForce работает через сложную affiliate program. Участники этой схемы управляют атаками через Control Panel, что повышает операционный темп группы и способствует росту числа жертв.

Такой формат деятельности характерен для зрелых RaaS-экосистем: одна сторона развивает инфраструктуру, а другая — обеспечивает масштабирование атак за счет распределенной сети партнеров. В случае DragonForce это дополнительно усиливает устойчивость и адаптивность группы.

Технический профиль и MITRE ATT&CK

DragonForce использует ransomware, способную затрагивать различные platforms, включая Windows и Linux. При этом применяются современные методы encryption, что делает восстановление данных без оплаты выкупа крайне маловероятным.

Тактики группы сопоставимы с фреймворком MITRE ATT&CK. В отчете отмечаются следующие направления активности:

  • initial access;
  • command execution;
  • persistence;
  • lateral movement;
  • defense evasion.

Кроме того, DragonForce демонстрирует квалификацию в отключении security services и эксплуатации уязвимостей в internet-facing systems и remote access software. Особое внимание злоумышленники уделяют продуктам Ivanti и Fortinet, что делает их критически важными точками для усиления защиты.

География, инфраструктура и возможные связи

В отчете указывается, что операции DragonForce могут находиться под влиянием связей с организациями из СНГ или российскими структурами. Об этом, по мнению аналитиков, свидетельствуют использование российских online-forums для коммуникации и поддержка инфраструктуры европейскими internet service providers.

Отдельно подчеркивается, что структура DragonForce эволюционировала в сторону формирования ransomware cartel, что дополнительно консолидирует власть в underground-экосистеме. Параллельно группа, по данным отчета, разрабатывает стратегии по поглощению или кооптации конкурирующих групп.

Что это значит для бизнеса

С учетом масштаба атак и усложнения модели работы DragonForce, ландшафт угроз остается динамичным и требует постоянного мониторинга. Для организаций из целевых отраслей риск особенно высок, поскольку атаки сочетают техническую подготовку, экономическое давление и угрозу утечки данных.

Чтобы снизить вероятность успешной атаки, организациям рекомендуется:

  • внедрять robust cybersecurity measures;
  • регулярно проводить security awareness training;
  • обеспечивать vulnerability management;
  • использовать threat intelligence solutions, адаптированные для обнаружения активности DragonForce;
  • усиливать защиту RDP и VPN-сервисов;
  • контролировать доступ к internet-facing systems и своевременно обновлять software.

В целом, расширение группы и ее операционная сложность подчеркивают критическую необходимость повышения осведомленности и укрепления cybersecurity protocols в наиболее уязвимых секторах экономики.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: