Группировка DragonForce: новый игрок на арене вымогателей, строящий империю на чужом коде

С самого начала своей активности DragonForce позиционировала себя не просто как группировка, а как картель. Она разработала собственный шифровальщик на основе исходного кода двух печально известных семейств: LockBit 3.0 (Black) и Conti. Более того, группа запустила сервис под названием «Ransombay», предлагая партнерам-аффилиатам модель RaaS (Ransomware-as-a-Service). Эта модель включает возможность получения кастомизированных вредоносных нагрузок (payload), что позволяет быстро масштабировать атаки. В июне 2024 года DragonForce официально объявила о наборе аффилиатов на форуме RAMP, предлагая им до 80% от суммы выкупа.

Исследователи отмечают тесные связи DragonForce с другими группами. В марте 2025 года DragonForce воспользовалась ошибкой конфигурации и компрометировала инфраструктуру группы BlackLock, выложив в открытый доступ их внутренние данные. Анализ кода BlackLock показал значительное сходство с DragonForce, хотя и с ключевым отличием: BlackLock был написан на Go, а DragonForce - на C/C++. В апреле того же года на том же форуме было объявлено о «партнерстве» и переходе инфраструктуры другой группы, RansomHub, под контроль DragonForce. Кроме того, согласно данным VX-Underground, DragonForce пыталась наладить коммуникационные каналы с группировками LockBit и Qilin, предлагая альянс для усиления влияния.

С технической точки зрения, анализируемый образец DragonForce был идентифицирован как основанный на коде Conti. Все строки в вредоносной программе обфусцированы с помощью собственного алгоритма и расшифровываются непосредственно во время выполнения. Шифровальщик поддерживает пять аргументов командной строки, ключевым из которых является «-m», определяющий режим шифрования: локальный, сетевой или комбинированный.

Процесс шифрования демонстрирует изощренный подход. Файлы-жертвы шифруются с использованием алгоритма ChaCha8. К каждому зашифрованному файлу добавляется 534 байта метаданных, которые включают сессионный ключ ChaCha8, зашифрованный с помощью RSA-4096. В зависимости от размера и типа файла применяется полное, частичное или только заголовочное шифрование. Например, файлы виртуальных машин шифруются лишь на 20%, а файлы баз данных подвергаются полному шифрованию.

Группа также использует психологическое давление. В зависимости от конфигурации, шифровальщик может не только добавлять к файлам расширение .dragonforce_encrypted, но и кодировать оригинальные имена файлов в Base32, менять их иконки, а также устанавливать на рабочий стол скомпрометированной системы специальные обои с сообщением о взломе.

Тактики, техники и процедуры (TTPs) группы, исследованные Group-IB, следуют распространенному сценарию. Первоначальное проникновение часто осуществляется через публично доступные RDP-серверы. После получения доступа злоумышленники используют такие инструменты, как Cobalt Strike и Mimikatz, для кражи учетных данных, сбора информации о сети и последующего перемещения по системе, в конечном итоге развертывая шифровальщик по всей сети.

Отдельный интерес представляет часть отчета, посвященная дешифратору. В ходе расследования исследователям S2W удалось получить инструмент для расшифровки, способный восстановить данные конкретной системы-жертвы. Существуют версии дешифратора как для Windows, так и для ESXi. Принцип работы основан на использовании встроенного в инструмент приватного RSA-ключа для расшифровки метаданных, извлечения сессионного ключа ChaCha8 и последующего восстановления файлов. Для ESXi-версии дополнительной проверкой является совпадение уникального 8-байтового «build_key» в конце зашифрованного файла.

Появление DragonForce наглядно иллюстрирует эволюцию угроз кибервымогательства. Группировки активно используют утечки исходного кода, формируют альянсы и развивают сервисные модели, что делает их более устойчивыми и опасными. Рекомендации по защите остаются классическими: усилить контроль за удаленным доступом (в идеале, разрешая его только через VPN), своевременно обновлять программное обеспечение для устранения уязвимостей и обеспечивать регулярное резервное копирование критически важных данных.

MD5

• 19d69e198f1b8888d07eb612f1c27fa8
• 3357b96f7baef169e28ed5a24ea79f59
• 34f44c0d598900c0e8d1fd28581ca000
• 3a6e2c775c9c1060c54a9a94e80d923a
• 7491066b46c3b0eb77dfcda9cce3c673
• 770c1dc157226638f8ad1ac9669f4883
• 863a7069c175970d9c52e9c0ff190e21
• 9db8f7378e2df01c842cfcb617e64475
• ada4e228e982a7e309bb6a3308e4872d
• b8c046a7c3a28653662140bb2eaad32d
• b97812a2e6be54e725defbab88357fa2
• e84270afa3030b48dc9e0c53a35c65aa

SHA256

• 0dfe23ab86cb5c1bfaf019521f3163aa5315a9ca3bb67d7d34eb51472c412b22
• 153b6a1765f48ec9be9fbe5767485a91fb151d236763a575cee4aca0e6bb5c4f
• 1ccf8baf11427fae273ffed587b41c857fa2d8f3d3c6c0ddaa1fe4835f665eba
• 410db536a57c511b0ccac2639e0eb3320f303fc5c90242379ab43364c51ef321
• 451a42db9c514514ab71218033967554507b59a60ee1fc3d88cbeb39eec99f20
• 4db090498a57b85411417160747ffd8d4875f98b3ca2b83736a68900b7304d2b
• 7c67ac6140a6bcf8774be0365cbe8fe10e0bf0cf2918bd734ee4aca77de48c7a
• b9bba02d18bacc4bc8d9e4f70657d381568075590cc9d0e7590327d854224b32
• c844d02c91d5e6dc293de80085ad2f69b5c44bc46ec9fdaa4e3efbda062c871c
• d67a475f72ca65fd1ac5fd3be2f1cce2db78ba074f54dc4c4738d374d0eb19c7
• df5ab9015833023a03f92a797e20196672c1d6525501a9f9a94a45b0904c7403
• f58af71e542c67fbacf7acc53a43243a5301d115eb41e26e4d5932d8555510d0