Группировка DragonForce, разрабатывающая программы-вымогатели (ransomware, вредоносное ПО для шифрования данных), с середины 2023 года активно наращивает свою операционную деятельность. По данным аналитиков, группировка предположительно базируется в Малайзии и работает по модели Ransomware-as-a-Service (RaaS, «вымогательство как услуга»), предлагая свои услуги другим злоумышленникам. В начале 2025 года DragonForce запустила дочерний белый бренд под названием «Ransom Bay», что свидетельствует о расширении бизнес-модели.
Описание
Атаки носят многокомпонентный характер: злоумышленники не только шифруют файлы на compromised systems (скомпрометированных системах), но и похищают конфиденциальные данные, угрожая их публикацией в случае неуплаты выкупа. В апреле-мае 2025 года жертвами DragonForce стали крупные британские розничные сети, включая Marks & Spencer и Harrods.
Для распространения вредоносного ПО (malicious software) группа использует фишинговые письма, malicious websites (вредоносные веб-сайты) и эксплуатацию уязвимостей в ПО. Технический анализ образца вымогателя выявил использование сложных техник уклонения от обнаружения. Для противодействия статическому анализу код обфусцирован с помощью техники stack strings, когда строки шифруются и хранятся в стеке, расшифровываясь только во время выполнения.
DragonForce демонстрирует высокий уровень технической изощренности. Для обхода хуков (hooks), устанавливаемых средствами защиты, вредоносная программа отображает в памяти чистые копии системных библиотек DLL (например, kernel32.dll, ntdll.dll) и заменяет модифицированный код на оригинальный. Перед началом шифрования программа-вымогатель завершает множество процессов, чтобы избежать блокировки файлов, и уничтожает теневые копии томов через WMI-запрос, лишая жертву возможности восстановить данные стандартными средствами.
Процесс шифрования использует алгоритм ChaCha8. В зависимости от размера и типа файла применяется полное или частичное шифрование: файлы меньше 3 МБ шифруются целиком, а большие - только первые 3 МБ. Исключение составляют файлы виртуальных машин и целевые расширения, которые шифруются полностью или на 20%. Для ускорения процесса создаются multiple threads (множественные потоки), количество которых равно числу процессоров в системе.
После шифрования файлы переименовываются, к ним добавляется расширение .dragonforce_encrypted, а в каждой папке создается файл readme.txt с инструкциями по выплате выкупа в биткоинах. Для обеспечения persistence (устойчивости) в системе вносится изменение в реестр Windows. Программа-вымогатель также меняет обои на рабочем столе, чтобы визуально подтвердить атаку.
Анализ тактик, техник и процедур (TTP) группировки показывает значительное совпадение с фреймворком MITRE ATT&CK. DragonForce использует фишинг для первоначального доступа, манипулирует реестром для сохранения присутствия, осуществляет Discovery (разведку) файловой системы и перемещается по сети с помощью RDP (Remote Desktop Protocol). Командно-управляющий трафик (C2) передается по web-протоколам.
DragonForce представляет собой высокоопасную угрозу. Часть её функционала основана на утекшем исходном коде известных программ-вымогателей LockBit 3.0 и Conti, что позволяет группировке быстро внедрять проверенные методы атак. Рекомендуется соблюдать повышенные меры предосторожности при работе с почтовыми вложениями, своевременно обновлять программное обеспечение и использовать многофакторную аутентификацию для защиты учетных записей.
Индикаторы компрометации
MD5
- 9db8f7378e2df01c842cfcb617e64475
SHA1
- eada05f4bfd4876c57c24cd4b41f7a40ea97274c
SHA256
- b9bba02d18bacc4bc8d9e4f70657d381568075590cc9d0e7590327d854224b32
- c844d02c91d5e6dc293de80085ad2f69b5c44bc46ec9fdaa4e3efbda062c871c
