DragonForce - это группа Ransomware-as-a-Service (RaaS), которая ведет партнерскую программу, предлагая два варианта ransomware: один основан на LockBit 3.0, а другой - на модифицированной версии ContiV3.
DragonForce Ransomware Group
Группа использует тактику двойного вымогательства, шифруя данные жертв и угрожая их утечкой, если не будет выплачен выкуп. В период с августа 2023 по август 2024 года DragonForce атаковала 82 организации по всему миру в различных отраслях. Из них более 50 процентов атак пришлось на США.
Партнерская программа DragonForce позволяет злоумышленникам настраивать полезную нагрузку выкупного ПО, включая отключение функций безопасности, настройку параметров шифрования и персонализацию примечаний к выкупу. DragonForce использует передовые технологии, такие как «Принеси свой собственный уязвимый драйвер» (BYOVD), чтобы отключить процессы безопасности и избежать обнаружения, что делает их атаки очень эффективными и сложными для противодействия.
DragonForce использует различные инструменты в своей цепочке атак, включая SystemBC для стойкости, Cobalt Strike для бокового перемещения и сбора учетных данных, а также инструменты сетевого сканирования для составления карты взломанной среды. Эти возможности повышают изощренность атак, позволяя им незамеченными перемещаться внутри целевых сетей. По мнению Group-IB, быстрая эволюция и сложные тактики, методы и процедуры (TTP) DragonForce представляют собой значительную угрозу в мире вымогательского ПО.
Indicators of Compromise
IPv4
- 185.59.221.75
- 185.73.125.8
- 2.147.68.96
- 69.4.234.20
- 94.232.46.202
MD5
- 97b70e89b5313612a9e7a339ee82ab67
- a50637f5f7a3e462135c0ae7c7af0d91
- bb7c575e798ff5243b5014777253635d
- c111476f7b394776b515249ecb6b20e6
