DragonForce ransomware: ChaCha8, шифрование файлов и антианализ

Источник: www.pointwild.com
Новый отчет раскрывает детали работы DragonForce — сложной программы-вымогателя (ransomware), нацеленной на шифрование файлов с последующим требованием выкупа в bitcoin. Исследование описывает как механизм шифрования, так и методы уклонения от обнаружения, а также указывает на родственные связи с ранее известными семействами угроз.
Что известно об угрозе
DragonForce демонстрирует типичное для ransomware поведение: сбор логов активности, взаимодействие с серверами командования и контроля (C2) и модульное шифрование данных. Авторы отчета отмечают, что кодовая база программы содержит элементы, схожие с ранними версиями LockBit3.0 и Conti, что свидетельствует о развитии техники от устоявшихся решений вымогателей.
Механизм шифрования
Ключевой криптографический компонент DragonForce — использование алгоритма ChaCha8. Шифрование реализовано тонко настроенными правилами в зависимости от типа и размера файлов:
- Файлы размером более 3 МБ подвергаются полному шифрованию. В нижний колонтитул зашифрованного файла добавляется индикатор 0x24.
- Файлы размером ≤ 3 МБ шифруются частично — первые 3 МБ — при этом в нижний колонтитул добавляется индикатор 0x26.
- Некоторые целевые расширения, судя по всему, шифруются полностью независимо от размера файла.
- Файлы виртуальных машин обрабатываются иначе: зашифрована лишь около 20% их содержимого.
Такой дифференцированный подход позволяет злоумышленникам сократить время шифрования и уменьшить риск нарушения работоспособности критичных для операционной системы или крупных бинарных файлов, одновременно сохраняя достаточный уровень повреждения данных для давления на жертву.
Методы уклонения и защита кода
DragonForce применяет современные техники запутывания и антианализа, затрудняющие исследование образцов специалистами по безопасности и замедляющие реакцию на инциденты. Эти меры включают обфускацию кода и поведенческие триггеры, направленные на обнаружение сред анализа.
«Архитектура базового кода раскрывает связь с ранее просочившимися версиями других известных программ-вымогателей, включая LockBit3.0 и Conti», — отмечают авторы отчета.
Последствия и выводы
Комбинация селективного шифрования, использования ChaCha8 и продвинутых антианалитических техник делает DragonForce опасным игроком в экосистеме вымогателей. Связь с кодовыми наработками LockBit3.0 и Conti указывает на эволюцию практик и возможный перенос успешных приемов из одного семейства в другое.
Организациям рекомендуется усилить мониторинг сетевой активности, уделить внимание защите резервных копий и оперативно реагировать на аномалии, связанные с массовым чтением/записью больших файлов и подозрительной связью с внешними C2-серверами.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



