Программа-вымогатель DragonForce: угроза для кибербезопасности
Программа-вымогатель DragonForce представляет собой сложный тип вредоносного ПО, созданного с целью шифрования файлов в зараженных системах. Поскольку злоумышленники требуют выплаты выкупа в криптовалюте, в первую очередь в биткоинах, за доступ к расшифровке данных, эта угроза становится все более актуальной для организаций и частных пользователей по всему миру.
Методы распространения
DragonForce активно распространяется через фишинговые кампании, используясь в качестве приманки законные электронные письма с вредоносными вложениями или ссылками. Лишь одно взаимодействие с такими элементами может привести к активации вредоносного ПО. Тактика социальной инженерии, часто используемая в этом процессе, включает:
- Обман пользователей для активации макросов.
- Использование уязвимостей в устаревшем программном обеспечении.
Последствия заражения
После первого доступа DragonForce применяет методы из базы MITRE ATT&CK, такие как T1105, для репликации в каталогах и других системах сети. Для поддержания постоянства и скрытности он:
- Модифицирует разделы реестра Windows.
- Создает запланированные задачи, позволяя выполнять вредоносное ПО при каждом запуске системы.
- Отключает антивирусные программы и удаляет следы своей деятельности.
Технологическое применение
DragonForce использует мощные алгоритмы шифрования, такие как AES-256 и RSA, что делает шифрование данных практически неразрешимым для пострадавших. Каждая зараженная система получает уникальный ключ шифрования, где:
- Открытый ключ используется для шифрования данных.
- Закрытый ключ хранится у злоумышленников.
Кроме того, программа включает в себя механизм сбора данных, позволяющий незаметно забирать конфиденциальную информацию, такую как учетные данные пользователей и конфигурации системы.
Система управления и эксфильтрация данных
DragonForce осуществляет связь с сервером управления (C2) посредством протоколов HTTP/HTTPS, что облегчает передачу украденной информации и получение обновлений. Эта связь включает важные системные данные, такие как:
- Идентификатор компьютера.
- Открытые ключи шифрования.
Некоторые вариации DragonForce способны эксфильтровать данные перед шифрованием, что подчеркивает угрозу утечки конфиденциальной информации.
Загадки международных киберпреступников
Инфраструктура DragonForce демонстрирует поддержку различных серверов C2, некоторые из которых расположены в Иране, что указывает на возможное трансграничное сотрудничество между киберпреступниками. Идентифицированные сигнатуры кода на китайском языке также влияют на предположения о сотрудничестве между странами в разработке функций вредоносного ПО.
Выводы
Программа-вымогатель DragonForce является примером быстроразвивающегося и многогранного киберугрозы. Ее возможности шифрования, передовые методы уклонения и риск утечки данных требуют от организаций постоянной бдительности и адаптивных стратегий защиты. Как отметил один из экспертов: «Эта угроза подчеркивает необходимость в улучшении киберзащиты и оперативного реагирования на инциденты».
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
