Dragon RaaS, также известная как DragonRansom или Dragon Team, - это группа разработчиков, занимающихся бизнесом ransomware-as-a-service (RaaS). Они действуют в серой зоне между хактивизмом и киберпреступностью. Dragon RaaS появилась в июле 2024 года как ответвление от группы Stormous, которая является частью более крупного киберпреступного синдиката, известного как «The Five Families», в который входят ThreatSec, GhostSec, Blackforums и SiegedSec.
Dragon RaaS APT
Хотя Dragon RaaS рекламирует себя как сложную RaaS-операцию, ее атаки чаще всего являются дефейсами и оппортунистическими, а не масштабными вымогательствами выкупного ПО. Тем не менее, группа продолжает атаковать небольшие организации со слабыми системами безопасности, часто используя неправильную конфигурацию, атаки методом грубой силы и кражу учетных данных. Их основными целями являются организации в США, Израиле, Великобритании, Франции и Германии.
Dragon RaaS был создан Stormous, получившей известность благодаря своей агрессивной тактике и геополитическим мотивам. Stormous атаковала организации, считающиеся враждебными России, особенно в США, западных странах, Индии и Украине.
В середине 2021 года Stormous стал частью более крупного киберпреступного синдиката, известного как «The Five Families», в который также входят ThreatSec, GhostSec, Blackforums и SiegedSec. В 2023 году Stormous наладил более тесное партнерство с GhostSec для проведения совместных RaaS-операций. До появления Dragon RaaS другие RaaS-операции, приписываемые этим группам, включали GhostLocker и StormCry (Stormous RaaS).
Dragon RaaS запустила свой Telegram-канал в июле 2024 года и объявила о предстоящем выпуске своей платформы для вымогательства. Первые значимые сообщения группы появились в октябре 2024 года. 25 октября группа объявила об атаке на частный университет Аль-Саид в Йемене. На следующий день в Telegram группа анонсировала свою «Dragon Ransomware RaaS Platform». Платформа рекламировала возможности контроля и управления в реальном времени, функции конфиденциальности, быстрое шифрование и настраиваемую полезную нагрузку для вымогателей.
Группа в значительной степени полагается на эксплуатацию уязвимостей, брутфорс атаки, кражу учетных данных и слабые конфигурации для первоначального доступа, как Stormous. Они развертывают веб-оболочку PHP, которая служит бэкдором и предоставляет функциональные возможности для текущего вымогательства, позволяя злоумышленникам взаимодействовать с интерфейсом для манипулирования и шифрования файлов.
Dragon RaaS часто использует уязвимости в WordPress и его плагинах, а также другие методы для получения доступа к целевым системам. Известно, что они используют такие уязвимости, как CVE-2024-3806, CVE-2024-3807, CVE-2024-3808 и CVE-2024-3809 в теме Porto WP Theme, а также CVE-2022-0073, CVE-2022-0074, CVE-2023-2359, CVE-2023-6925, CVE-2023-47784 и CVE-2024-47374 в HTTP-серверах LiteSpeed.
Dragon RaaS продолжает активно объявлять о своих жертвах и использовать различные методы для получения первоначального доступа, представляя собой постоянную угрозу в сфере кибербезопасности.
Indicators of Compromise
Domains
- jso-tools.z-x.my.id
SHA1
- 111caef54a6bb02a11d8c6f923e5c8b1f2323eb3
- 1b4b4e910bfd31f5f3f2f3a269bf2c994978b78a
- 2a720281cd869c1aaaca430a96cf980f623e0f76
- 3afd36e7e837d7216bdb48e466f8dcd5f2b169b6
- aa62afd6a48d3c42ed66d4f5b9189be847ec055b
