DragonForce ransomware: ChaCha8, шифрование файлов и антианализ

DragonForce ransomware: ChaCha8, шифрование файлов и антианализ

Источник: www.pointwild.com

Новый отчет раскрывает детали работы DragonForce — сложной программы-вымогателя (ransomware), нацеленной на шифрование файлов с последующим требованием выкупа в bitcoin. Исследование описывает как механизм шифрования, так и методы уклонения от обнаружения, а также указывает на родственные связи с ранее известными семействами угроз.

Что известно об угрозе

DragonForce демонстрирует типичное для ransomware поведение: сбор логов активности, взаимодействие с серверами командования и контроля (C2) и модульное шифрование данных. Авторы отчета отмечают, что кодовая база программы содержит элементы, схожие с ранними версиями LockBit3.0 и Conti, что свидетельствует о развитии техники от устоявшихся решений вымогателей.

Механизм шифрования

Ключевой криптографический компонент DragonForce — использование алгоритма ChaCha8. Шифрование реализовано тонко настроенными правилами в зависимости от типа и размера файлов:

  • Файлы размером более 3 МБ подвергаются полному шифрованию. В нижний колонтитул зашифрованного файла добавляется индикатор 0x24.
  • Файлы размером ≤ 3 МБ шифруются частично — первые 3 МБ — при этом в нижний колонтитул добавляется индикатор 0x26.
  • Некоторые целевые расширения, судя по всему, шифруются полностью независимо от размера файла.
  • Файлы виртуальных машин обрабатываются иначе: зашифрована лишь около 20% их содержимого.

Такой дифференцированный подход позволяет злоумышленникам сократить время шифрования и уменьшить риск нарушения работоспособности критичных для операционной системы или крупных бинарных файлов, одновременно сохраняя достаточный уровень повреждения данных для давления на жертву.

Методы уклонения и защита кода

DragonForce применяет современные техники запутывания и антианализа, затрудняющие исследование образцов специалистами по безопасности и замедляющие реакцию на инциденты. Эти меры включают обфускацию кода и поведенческие триггеры, направленные на обнаружение сред анализа.

«Архитектура базового кода раскрывает связь с ранее просочившимися версиями других известных программ-вымогателей, включая LockBit3.0 и Conti», — отмечают авторы отчета.

Последствия и выводы

Комбинация селективного шифрования, использования ChaCha8 и продвинутых антианалитических техник делает DragonForce опасным игроком в экосистеме вымогателей. Связь с кодовыми наработками LockBit3.0 и Conti указывает на эволюцию практик и возможный перенос успешных приемов из одного семейства в другое.

Организациям рекомендуется усилить мониторинг сетевой активности, уделить внимание защите резервных копий и оперативно реагировать на аномалии, связанные с массовым чтением/записью больших файлов и подозрительной связью с внешними C2-серверами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: