DragonForce: Kartel ransomware strzeże swojej kryjówki

DragonForce to grupa cyberprzestępcza, która podejmuje świadome kroki w celu zwiększenia swoich wpływów w ekosystemie ransomware. Wstępne raporty dokumentujące ataki DragonForce rozeszły się w 2023 r., gdy grupa zmieniła swój model operacyjny, rozwinęła powiązania partnerskie i zwróciła się do nowych i długoletnich operatorów. Te elementy połączyły się, aby uczynić DragonForce grupą ransomware, którą warto obserwować w 2025 r.

Czym jest DragonForce?

Tej grupy cyberprzestępczej nie należy mylić z zespołem metalowym o tej samej nazwie, DragonForce odnosi się do hakerów ransomware, którzy zostali zidentyfikowani jesienią 2023 roku. Aktor zagrożenia kiedyś działał w kontekście modelu Ransomware as a Service (RaaS), a następnie zmienił się w kartel ransomware. Toczą się pewne dyskusje na temat tego, czy ta grupa DragonForce jest tym samym podmiotem, który jest powiązany z grupą hakerów-aktywistów. Grupa hakerów – aktywistów znana jako DragonForce (Malezja) została rozpoznana w 2021 roku. DragonForce Malezja przeprowadziła wcześniej ataki na organizacje z siedzibą na Bliskim Wschodzie kilka lat temu.

Gdzie mają siedzibę i kogo mogą wspierać?

Pomimo wcześniejszego znanego działania DragonForce w Malezji, nie ma danych sugerujących, że obecna grupa ransomware DragonForce ma tam swoją siedzibę. Aktor zagrożenia wykorzystał infrastrukturę powiązaną z Rosją, co potwierdza wcześniejsze twierdzenia, że grupa ma interesy powiązane z Rosją w swoich operacjach cyberprzestępczych. Grupa wcześniej opublikowała post na platformie RAMP, wyrażając potrzebę pozyskania większej liczby rekrutów. A członkowie RansomHub oskarżyli nawet grupę o powiązania z FSB, rosyjską jednostką wywiadowczą.

Czym różni się grupa hakerów od grupy zajmującej się oprogramowaniem ransomware?

DragonForce używał ransomware w całej swojej działalności. Ransomware DragonForce, który był używany pod koniec 2023 r., aż do pierwszej połowy 2024 r., miał kilka wspólnych cech z LockBit 3.0. Jednak DragonForce wdrożył zmiany latem 2024 r., przyjmując model RaaS i wdrażając wariant Conti.

Choć współpraca między grupami zajmującymi się oprogramowaniem ransomware i grupami haktywistów ma miejsce, a cechy łączące te dwie grupy mogą się zacierać, na chwilę obecną nie zaliczamy DragonForce do grup haktywistów.

Grupy aktywistów różnią się od grup ransomware na kilka sposobów. Zwyczajowo hakerzy są motywowani wpływami geopolitycznymi lub ideologią bojową związaną z ideami sprawiedliwości lub buntu. Grupy ransomware z kolei są zazwyczaj motywowane zyskiem finansowym.

Hacktywista lub kolektyw haktivistów może przejść do działania jako grupa ransomware, aby manewrować z mniejszą liczbą ograniczeń dotyczących tego, kogo zaatakują lub z kim nawiążą współpracę. Hacktywiści często mają polityczne motywacje do szkodzenia wybranym celom i mogą w rezultacie ograniczać swoje ofiary do organizacji z siedzibą w określonym regionie, sektorze lub rozmiarze.

Mogliby również wybrać na przykład przyjęcie pewnych zasad zaangażowania, aby zakazać ataków na bardziej kontrowersyjne ofiary, takie jak organizacje non-profit w służbie zdrowia, przedsiębiorstwa z ograniczonymi zasobami lub organizacje sektora publicznego w edukacji. Decyzja o przejściu na operacje ransomware może również wynikać z takich kwestii, jak restaffing lub przejęcie.

Ataki typu ransomware, rozprzestrzeniane w wyniku wycieku kodu lub błędu OPSEC, mogą również dać grupom hakerskim okazję do ich wykorzystania w ramach własnej kampanii.

Jakość ponad ilością – współczynniki ataków DragonForce

DragonForce pochłonął ponad 120 ofiar w ciągu ostatniego roku. Grupa zaatakowała organizacje z siedzibą w takich krajach jak Stany Zjednoczone, Włochy i Australia. Opracowali również szyfratory używane w środowiskach Windows, Linux i ESXi.

DragonForce pochłonęło największą liczbę ofiar miesięcznie, w sumie 23, w kwietniu 2024 r. Chociaż liczba ta może wydawać się niewielka w porównaniu z liczbą ofiar innych grup, takich jak RansomHub, obecność i strategia DragonForce wydają się umożliwiać jej własny, ciągły sukces w ekosystemie ransomware.

DragonForce wziąła na cel organizacje z branży produkcyjnej, budowlanej, technologicznej, opieki zdrowotnej i handlu detalicznego. Grupa publikuje żądania okupu, które są bardzo zróżnicowane, od kilkuset tysięcy do milionów dolarów. Wykazują się należytą starannością w badaniu organizacji i ich szacowanych przychodów, aby wygenerować kwoty okupu. Podczas czatu DragonForce z ofiarą w 2024 r. grupa zażądała okupu w wysokości 7 milionów dolarów.

Strona wycieku danych DragonForce

DragonForce używa witryny wycieku danych i robi to od połowy 2024 r. Początkowo grupa hostowała również serwer czatu. Witryna zmienia się wraz z grupą, w tym ogłoszeniem z marca 2025 r. o kartelu ransomware DragonForce.

Sekcja bloga DragonNews witryny o wycieku danych zawiera wpisy organizacji ofiar, w tym witrynę ofiary, rozmiar skradzionych danych i datę publikacji wycieku danych — lub czas pozostały do publikacji. DragonForce niedawno usunął weryfikację CAPTCHA , która została wdrożona na ich stronie o wycieku danych. Chociaż mogło to zostać zrobione w celu zwiększenia ich widoczności wśród innych aktorów zagrożeń i opinii publicznej, możliwe jest również, że przyszła aktualizacja wymusi inną metodę weryfikacji.

Odwiedzający mogą przeglądać struktury plików/folderów skradzionych danych na wybranych stronach blogów i zostać przekierowani do DragonFiles, aby przeglądać i pobierać ich zawartość. Od początku maja witryna podlega globalnemu modelowi aktualizacji.

Wydarzenia w trakcie transformacji kartelu

W ciągu ostatnich kilku miesięcy DragonForce współpracował z kilkoma innymi aktorami zagrożeń. Niedawno doniesiono, że DragonForce przejął ofiary w branży detalicznej w sposób podobny do innego aktora zagrożeń o nazwie Scattered Spider. Scattered Spider nawiązał taktyczne partnerstwa z innymi grupami ransomware, zwłaszcza tymi powiązanymi w przeszłości z Rosją, w tym ALPHV i RansomHub. Scattered Spider uzyskał początkowy dostęp do systemów, stosując techniki inżynierii społecznej, podszywając się pod IT, aby pomóc personelowi potrzebującemu pomocy przed wdrożeniem ransomware DragonForce i innych złośliwych narzędzi.

Na początku maja DragonForce opublikował przykład nowego systemu „projektów” na stronie wycieku danych. W poście odwołano się do linków onion, które zostały ukryte na poniższym rysunku, do bloga i infrastruktury RansomHub. Po wybraniu tych linków przekierowywano na stronę, na której wyświetlano tekst: RansomHub RIP (03.03.2025).

W marcu 2025 r. DragonForce zniszczył również witrynę wycieku danych grupy o nazwie Mamona po tym, jak infrastruktura Mamona została opublikowana online. Zniszczenie infrastruktury Mamona było prawdopodobnie częścią zaplanowanego planu mającego na celu zniszczenie powstających grup RaaS.

Dalsza perspektywa kartelu

DragonForce różni się od innych grup RaaS, ponieważ oprócz oferowania partnerom 80% zysków, zapewnia również infrastrukturę niezbędną do zarządzania obecnością online i wdrażania ataków ransomware. Ponadto DragonForce zapewnia automatyzację procesów roboczych, blog, serwer plików, panele administracyjne i klienckie, całodobowy monitoring, petabajty pamięci masowej, odszyfrowywanie Kerb i inne korzyści.

Szyfratory Windows są zaprojektowane tak, aby umożliwić częściowe, pełne i nagłówkowe szyfrowanie. Obsługiwane jest szyfrowanie nazw plików lub dzienników, a szyfrowanie można ustawić w celu wybrania folderów. Podczas badania DragonForce DLS okazuje się również, że grupa wyciągnęła wnioski z procesu deszyfrowania Akira, opublikowanego wcześniej w tym roku, który wykorzystuje klaster GPU , aby udoskonalić własne metody szyfrowania i odzyskiwania plików dla systemów Linux, ESXi i innych. Dodatkowe informacje na temat parametrów szyfrowania dla tych systemów znajdują się poniżej.

Pomagając innym grupom ransomware w tworzeniu infrastruktury, DragonForce kontroluje zasoby sojuszników i konkurentów. Mają możliwość wyeliminowania lub zakończenia usług powiązanych z aktorami zagrożeń, którzy mogą rozwijać interesy sprzeczne z ich własnymi lub przeszkadzać im w osiąganiu zysków.

Rosyjski kanibalizm – kto wyprzedza Rosjan

RansomHub, znany rosyjski aktor zagrożeń w ekosystemie ransomware, przestał działać w kwietniu. Miesiąc później LockBit ucierpiał z powodu naruszenia bezpieczeństwa. Incydent LockBit zakończył się pozostawieniem na infrastrukturze ofiary wiadomości o treści „Nie popełniaj przestępstw PRZESTĘPSTWO JEST ZŁE xoxo z Pragi”. Czy DragonForce może być aktorem zagrożeń, który naruszył bezpieczeństwo LockBit? To możliwe. Zmienne, takie jak rozszerzająca się baza afiliacyjna DragonForce, która może składać się z pracowników wewnętrznych lub grup rywalizujących, również dodają pewien stopień prawdopodobieństwa tej teorii roboczej.

Dlaczego DragonForce chce dominować nad innymi grupami pod względem zasobów i ofiar? Ponieważ grupa ta rości sobie prawo do zaledwie 20% zysków afiliacyjnych, taki ruch może mieć mniej wspólnego z powiększaniem zysków, a więcej z wpływami i władzą. Wysiłki mające na celu wyeliminowanie konkurencji lub dodatkowych konfliktów mogą również zapewnić pewność, że operacje nie ustaną, jeśli rozłamy, powszechne w burzliwej gospodarce ransomware, postawią sprzymierzone grupy przeciwko sobie. Dążenie DragonForce do zapewnienia infrastruktury i usług wraz z ich zdolnością do ograniczania lub kończenia tych usług jest jednym ze sposobów zapobiegania skutkom krótkotrwałych lub niestabilnych relacji afiliacyjnych.

Taktyka, techniki i procedury

Dostęp początkowy

DragonForce jest w stanie ustanowić początkowy dostęp do systemów docelowych za pomocą ujawnionych danych uwierzytelniających i innych środków, w tym phishingu i wykorzystywania luk w aplikacjach. Co godne uwagi, grupa wykorzystuje liczne luki w zabezpieczeniach do przeprowadzania ataków. Luki te obejmują CVE-2024-21412, CVE-2024-21887 i CVE-2024-21893.

Wykonanie

Ransomware dragonforce.exe można uruchomić za pomocą kilku różnych metod. Jedna taktyka wykorzystuje polecenia w powłoce poleceń systemu Windows. Inna metoda polega na nadużywaniu współdzielonych modułów lub wykorzystywaniu przechwytywania bibliotek DLL.

Trwałość

DragonForce wykorzystał techniki Living Off the Land, używając legalnych plików wykonywalnych, takich jak Schtasks.exe i Task kill.exe, aby ustanowić trwałość. Pozwala to grupie dodawać zaplanowane zadania, wprowadzać złośliwe ładunki, zmieniać ustawienia systemowe i inne dane oraz kończyć aktywne zadania. Grupa zmienia również ustawienia zasilania, aby ustanowić trwałość, zapobiegając zmianie stanów systemu lub ponownemu uruchamianiu.

Uchylanie się od obrony

Oprogramowanie ransomware jest wyposażone w funkcje takie jak usuwanie plików, śledzenie czasu i modyfikowanie narzędzi bezpieczeństwa. Oprogramowanie ransomware tej grupy jest również wyposażone w funkcje wykrywania , aby identyfikować środowiska analizy i debugowania oraz zapobiegać uruchamianiu się złośliwego oprogramowania w tych ustawieniach.

Odkrycie

DragonForce wykonuje czynności wykrywania, w tym identyfikację zdalnych systemów, okien aplikacji oraz identyfikację połączeń sieciowych i konfiguracji sieci.

Ruch boczny

DragonForce nadużył narzędzia RMM o nazwie SimpleHelp w ostatnich kampaniach przeciwko dostawcom usług zarządzanych. Narzędzie RMM jest dla nich wygodnym sposobem na wykorzystanie aplikacji, która jest zazwyczaj dozwolona w środowiskach korporacyjnych do celów administracyjnych.

Po ustanowieniu zdalnej kontroli nad innymi systemami, są one w stanie poruszać się po całej sieci. Użycie RMM to tylko jeden z rodzajów techniki Living Off the Land, która zyskuje na popularności. Niedawna analiza 700 000 cyberincydentów przeprowadzona przez Bitdefender wykazała, że 84% krytycznych ataków obejmuje taktykę Living Off the Land. Wyłączając użycie technik Living Off the Land, ransomware DragonForce jest również w stanie replikować się za pośrednictwem wymiennych nośników podłączonych do systemów ofiar.

Dowodzenie i kontrola

DragonForce wykorzystuje Ingress Tool Transfer, metodę przenoszenia narzędzi z kontrolowanego środowiska przeciwnika do sieci ofiary. Ta technika jest zazwyczaj wykonywana przy użyciu protokołów takich jak FTP. Jednak inne metody obejmujące polecenia Certutil.exe lub PowerShell mogą być również używane.

Uderzenie

Gdy atakujący uruchomi ransomware w celu zaszyfrowania danych, do zainfekowanych plików zostanie dodany ciąg .dragonforce_encrypted.

Notatka o okupie

W procesie wykonywania ransomware, wydawane jest żądanie okupu. Poniższy fragment został wyodrębniony z notatki DragonForce o okupie:

„Cześć!

Twoje pliki zostały skradzione z Twojej sieci i zaszyfrowane silnym algorytmem. Pracujemy dla pieniędzy i nie jesteśmy związani z polityką. Wszystko, co musisz zrobić, to skontaktować się z nami i zapłacić.

— Nasz proces komunikacji:

Kontaktujesz się

Wyślemy Ci listę skradzionych plików.

Odszyfrowujemy 1 plik, aby potwierdzić, że nasz deszyfrator działa.

Uzgadniamy kwotę, która ma zostać zapłacona w BTC.

Usuniemy Twoje pliki, damy Ci deszyfrator.

Przedstawimy Ci szczegółowy raport opisujący, w jaki sposób naraziliśmy na szwank bezpieczeństwo Twojej firmy, a także zalecenia, jak uniknąć podobnych sytuacji w przyszłości.

— Zalecenia:

NIE RESETUJ ANI NIE WYŁĄCZAJ SYSTEMU – pliki mogą zostać uszkodzone.

NIE ZMIENIAJ NAZWY ANI NIE PRZENOSZ plików zaszyfrowanych i readme.

NIE USUWAJ plików readme.

— Ważne:

Jeżeli odmówisz zapłaty lub nie skontaktujesz się z nami, rozpoczniemy publikację Twoich plików.

…(zamazane). Dekryptor zostanie zniszczony , a pliki zostaną opublikowane na naszym blogu.

Z poważaniem, 01000100 01110010 01100001 01100111 01101111 01101110 01000110 01101111 01110010 01100011 01100101”

Zalecenia od zespołu Bitdefender

Wielowarstwowe podejście do kwestii bezpieczeństwa, łączące w sobie środki bezpieczeństwa z zakresu zapobiegania, ochrony, wykrywania i reagowania, jest niezbędne do ograniczenia ryzyka ataku ransomware i opracowania dojrzałej polityki bezpieczeństwa.

Praktyki bezpieczeństwa zapobiegawczego, zwłaszcza zarządzanie poprawkami i zarządzanie ryzykiem, pomagają organizacji łagodzić skutki słabych punktów, takich jak używanie przestarzałych lub podatnych na ataki komponentów systemu, zanim staną się one poważnym ryzykiem.

Praktyki ochrony bezpieczeństwa, w tym między innymi ochrona sieci, ochrona przed złośliwym oprogramowaniem i ochrona przed oprogramowaniem wymuszającym okup, są również pomocne w utrzymaniu bezpieczeństwa zarówno poufnych danych, jak i zasobów systemowych. Ponadto wdrożenie uwierzytelniania wieloskładnikowego (MFA) może dodać kolejną warstwę obrony, utrudniając osobom atakującym, w tym, hakerom którzy uzyskali ujawnione dane uwierzytelniające, uzyskanie nieautoryzowanego dostępu do systemu docelowego.

Praktyki wykrywania obejmujące badanie incydentów oraz analizę kryminalistyczną i reagowanie na zagrożenia pomagają organizacjom w utrzymaniu ciągłych praktyk w celu identyfikacji działań i wskaźników ryzyka wymagających zbadania — a także środków reagowania na zdarzenia i incydenty w miarę ich występowania.

Zrozumienie, w jaki sposób legalne pliki binarne mogą być nadużywane w Twoim środowisku oraz profil ryzyka obejmujący Twoich unikalnych użytkowników i zasoby, to kluczowe kroki w budowaniu proaktywnej strategii obronnej. Nasza technologia GravityZone PHASR (Proactive Hardening and Attack Surface Reduction) łączy uczenie maszynowe z analizą behawioralną w celu identyfikacji wektorów ataku i wdrażania wykonalnych, dostosowanych rekomendacji w celu zmniejszenia powierzchni ataku .

PHASR jest również wyjątkowy, ponieważ proaktywnie ocenia przypadki użycia LOTL. Może identyfikować i zapobiegać atakom, które działają przy użyciu podobnych złośliwych kontekstów w ransomware i podręcznikach atakujących. Więcej informacji na temat ataków LOTL można znaleźć w naszym webinarium.

Wskaźniki zagrożenia

DragonForce to grupa ransomware, którą warto obserwować w 2025 roku. Oto wskaźniki IOC powiązane z tym aktorem zagrożenia: