Киберпреступный картель DragonForce наращивает активность: анализ новой волны атак

Драматические изменения в стратегии DragonForce совпали с установлением партнерских отношений с печально известной группировкой Scattered Spider, специализирующейся на фишинговых атаках, SIM-свопинге и обходе многофакторной аутентификации. Это сотрудничество эволюционировало в более широкие пересечения с LAPSUS$ и ShinyHunters, сформировав так называемых "Scattered LAPSUS$ Hunters" в экосистеме "Hacker Com".

Технический анализ выявил значительные усовершенствования в encryptor (шифровальщике) DragonForce. После публикации статьи на платформе Habr, раскрывавшей уязвимости в шифровании конкурирующего вымогателя Akira, группа оперативно укрепила собственную систему шифрования. Исследователи обнаружили новые образцы, использующие атаки BYOVD (bring your own vulnerable driver, принеси свой уязвимый драйвер) через драйверы truesight.sys и rentdrv2.sys для принудительного завершения процессов защитного ПО.

Миграция кодовой базы на инструментарий MinGW привела к увеличению размера бинарных файлов и появлению артефактов - строк, которые должны были быть зашифрованы с помощью ADVObfuscator, оставались в открытом виде внутри двоичного кода. Однако при выполнении программы они корректно шифруются и дешифруются.

Конфигурация шифровальщика демонстрирует гибкость платформы DragonForce для аффилированных лиц. Особый интерес представляет поле use_sys, которое при активации переключает механизм завершения процессов на использование уязвимых драйверов ядра. Поддерживаются два драйверных бэкенда - Truesight и BadRentdrv2, которые должны присутствовать на компьютере жертвы заранее.

Схема шифрования унаследована от Conti: для каждого файла генерируется отдельный ключ ChaCha20, который затем шифруется с помощью открытого RSA-ключа и добавляется в начало зашифрованного файла. В завершение добавляется 10-байтовый блок информации о процессе шифрования.

Рост влияния DragonForce отчетливо прослеживается через увеличение числа аффилированных лиц. Образцы вымогателя Devman, использующие builder (сборщик) DragonForce, демонстрируют полное сохранение функциональности исходного шифровальщика при смене брендинга. Сходство структур ransom notes (записок с требованиями выкупа) между DragonForce и Devman указывает на тесную связь групп.

Картельная стратегия DragonForce проявляется и в агрессивных действиях против конкурентов. Группа осуществила дефейс сайта с утечками данных BlackLock и попыталась провести "враждебное поглощение" инфраструктуры RansomHub, что привело к прекращению операций последнего и миграции его аффилированных лиц к конкурентам.

С момента своего появления DragonForce опубликовала данные более 200 жертв из секторов розничной торговли, авиаперевозок, страхования, управляемых сервис-провайдеров и других предприятий. Наиболее заметной атакой, публично приписываемой группе, стало нападение на розничного гиганта Marks & Spencer в сотрудничестве со Scattered Spider.

Эксперты отмечают, что в отличие от других наследников Conti, DragonForce сохранила практически всю функциональность исходного кода, добавив лишь зашифрованную конфигурацию в исполняемый файл для избавления от аргументов командной строки, использовавшихся в оригинальном коде Conti. Устранив уязвимости шифрования Akira и укрепив собственные алгоритмы, группа сосредоточилась на расширении списка жертв и вербовке новых аффилированных лиц, подтверждая свой статус значительной и устойчивой угрозы.

Тенденция к картелизации киберпреступных групп представляет растущий риск для организаций по всему миру. Переход от конкуренции к сотрудничеству между различными преступными Formation позволяет объединять ресурсы и экспертизу, значительно повышая эффективность атак и усложняя их атрибуцию.

SHA256

• 04b14ead49adea9431147c145a89c07fea2c6f1cb515d9d38906c7696d9c91d5
• 0dfe23ab86cb5c1bfaf019521f3163aa5315a9ca3bb67d7d34eb51472c412b22
• 1ccf8baf11427fae273ffed587b41c857fa2d8f3d3c6c0ddaa1fe4835f665eba
• 44994c720ad936809b54388d75945abd18b5707e20c9ee8f87b8f958ca8f5b16
• 451a42db9c514514ab71218033967554507b59a60ee1fc3d88cbeb39eec99f20
• 4db090498a57b85411417160747ffd8d4875f98b3ca2b83736a68900b7304d2b
• 56dfe55b016c08f09dd5a2ab58504b377a3cd66ffba236a5a0539f6e2e39aa71
• 80e3a04fa68be799b3c91737e1918f8394b250603a231a251524244e4d7f77d9
• 8e8f463c37ea7133194731bfe4490e6713dd0133f30fe08a6d069d10fa7db2c6
• 941b0bb479946c833a0436ecb84b94c8468c86c40016f46029e8bf04a22a754e
• ad158a9ef5e849f7a2d10828a9aed89ebded7a2b5b3abb765f5797051cdf4a20
• b10129c175c007148dd4f5aff4d7fb61eb3e4b0ed4897fea6b33e90555f2b845
• b9bba02d18bacc4bc8d9e4f70657d381568075590cc9d0e7590327d854224b32
• c844d02c91d5e6dc293de80085ad2f69b5c44bc46ec9fdaa4e3efbda062c871c
• d67a475f72ca65fd1ac5fd3be2f1cce2db78ba074f54dc4c4738d374d0eb19c7
• dca4102fba483bf0060427e0d583a1f61d079bf0754db4d61ff2969cc1bc3474
• df5ab9015833023a03f92a797e20196672c1d6525501a9f9a94a45b0904c7403
• e4c44d0f462fce02b2c31555b12c022cdd6eae6492fd3a122e32e105fc5a54f8
• f58af71e542c67fbacf7acc53a43243a5301d115eb41e26e4d5932d8555510d0
• f5df98b344242c5eaad1fce421c640fadd71f7f21379d2bf7309001dfeb25972