DragonForce: новая растущая угроза превращается в киберпреступный картель

Группировка использует тактику двойного шантажа (dual-extortion). Злоумышленники не только шифруют критически важные для бизнеса данные, но и похищают конфиденциальную информацию. Впоследствии они угрожают опубликовать эти данные на сайтах-сливах в даркнете, если жертва не заплатит выкуп. DragonForce атаковала компании из различных секторов, уделяя особое внимание производству и строительству. Адаптивность группировки проявляется в постоянном совершенствовании инструментов и методов. Например, они перешли с отдельных сайтов для каждой жертвы на централизованный домен для размещения украденных данных. Такая быстрая эволюция делает их постоянной и растущей угрозой.

Платформа Ransomware-as-a-Service и новая стратегия

DragonForce предоставляет гибкую платформу по модели «вымогатель-как-услуга» (RaaS). Платформа поддерживает различные режимы шифрования, включая полное, частичное и шифрование заголовков, и работает на множестве платформ: Windows, Linux, ESXi и сетевых системах хранения данных (NAS). Ключевые функции включают настраиваемые режимы шифрования для отдельных файлов, опцию отложенного запуска атаки, многопоточность для повышения производительности, детальное логирование и возможность «холостого запуска» (dry-run) для тестирования атаки без реального шифрования.

Группировка объявила о смене операционной модели. Теперь она позиционирует себя как картель, позволяя аффилированным лицам (аффилиатам) создавать собственные бренды под эгидой DragonForce. Эта новая стратегия дает аффилиатам больше автономии для ведения собственных «проектов», при этом они могут пользоваться инфраструктурой и опытом картеля. В настоящее время картель находится в режиме глобального обновления, что сигнализирует об изменениях в операционных стратегиях и потенциальном расширении сети партнеров.

География и цели атак

Основными целями DragonForce стали сектора производства, бизнес-услуг, технологий и строительства. Наиболее часто атакам подвергались организации в США, Великобритании, Германии, Австралии и Италии. Эти отрасли и страны демонстрируют наибольшую концентрацию активности группировки.

Для упрощения привлечения новых партнеров DragonForce недавно запустила автоматизированный сервис регистрации. Теперь новые аффилиаты могут зарегистрироваться напрямую, без предварительного одобрения или тщательной проверки. Ранее для вступления требовался значительный денежный залог и проверка биографии. Группировка также анонсировала скорый выход нового «продукта» под названием DragonForce - Atom, детали которого пока не раскрыты.

Профессионализация через аудит данных

Вместо простой рекламы вредоносного ПО DragonForce создала сервис «Аудит корпоративных данных». Эта услуга призвана поддержать аффилиатов на этапе шантажа. Сервис позиционируется как дополнение к поддержке по расшифровке и переговорам. Его цель - усилить давление на жертв за счет анализа украденных данных и четкого описания бизнес-рисков, юридических последствий и угроз репутации.

Аудит включает детальный отчет о рисках, подготовленные материалы для коммуникации и стратегические рекомендации. Услуга предлагается по комиссионной модели, причем более высокий процент взимается за работу с инцидентами постфактум. Этот подход отражает общий тренд на профессионализацию операций с программами-вымогателями и расширение их экосистем. Злоумышленники инвестируют в анализ данных и стратегии переговоров, чтобы максимизировать прибыль, копируя практики легального консалтинга.

Конфликты и формирование картеля

Объявив о переходе в статус картеля, DragonForce начала агрессивные действия против конкурентов. Группировка провела кампанию по преследованию и за 24 часа изменила содержимое сайта-слива конкурента BlackLock. Затем внимание было переключено на другую группу - RansomHub, чья инфраструктура перестала работать 1 апреля 2025 года. DragonForce заявила, что RansomHub присоединилась к картелю, и даже создала специальный портал для миграции бывших аффилиатов RansomHub. Представитель RansomHub публично опроверг это, обвинив DragonForce в саботаже, внутреннем предательстве и даже сотрудничестве с правоохранительными органами.

Представитель DragonForce также сделал открытое предложение о сотрудничестве крупным операторам программ-вымогателей, в частности, назвав группы LockBit и Qilin. Вскоре после этого было опубликовано официальное заявление о формировании «коалиции» между Qilin, LockBit и DragonForce. Целью инициативы называется стабилизация «рынка» программ-вымогателей, увеличение коллективной прибыли и создание единого фронта.

Технический анализ и рекомендации

Технический анализ исполняемого файла вымогателя DragonForce выявил сходства с другими группами. Например, используется мьютекс, впервые задокументированный в образце, созданном на основе утекшего исходного кода ransomware Conti. Группировка сканирует порты SMB в диапазонах IP-адресов для разведки сети. Для удаления теневых копий (shadow copies), которые могут служить резервными копиями файлов, используется команда "wmic.exe shadowcopy delete". Платформа Cybereason успешно обнаружила и заблокировала попытку удаления теневых копий и само шифрование файлов.

Для защиты от угроз, подобных DragonForce, эксперты рекомендуют соблюдать базовые кибергигиенические практики. К ним относятся обязательное использование многофакторной аутентификации (MFA), своевременное обновление ПО, регулярное и изолированное резервное копирование критически важных данных. При обнаружении подозрительной активности необходимо немедленно привлекать службы реагирования на инциденты (Incident Response) для проведения тщательного расследования и полного устранения угрозы из сети.

SHA256

• 49e77b75aceac589dd86abf4cc643e5ce4a0e44eed8b39e17e9c8bf768d143ff
• c5554ab2ea04e9d938a47b09ea34ebedb46c223a500aa70f08f4b2dc6864bd90