Новый вызов кибербезопасности: DragonForce расширяет атаки под брендом Ransom Bay

DragonForce представляет собой классический пример Ransomware-as-a-Service (RaaS) - модели, при которой разработчики вымогателя предоставляют его в аренду другим злоумышленникам. Особую опасность представляет их стратегия двойного шантажа: не только шифрование данных жертв, но и предварительная их эксфильтрация. Это означает, что даже при наличии резервных копий компании рискуют утечкой конфиденциальной информации.

Распространение угрозы происходит через фишинговые письма, посещение скомпрометированных веб-сайтов или эксплуатацию уязвимостей в программном обеспечении.

Одной из ключевых особенностей DragonForce является применение техники обфускации строк на стеке, когда зашифрованные строки хранятся в стеке и расшифровываются только в массив, выделенный во время выполнения. Этот подход эффективно противодействует статическому анализу и обнаружению на основе сигнатур. Для противодействия системам мониторинга вредоносное ПО отображает в адресном пространстве текущего процесса несколько системных библиотек (DLL), включая kernel32.dll и ntdll.dll, с помощью API CreateFileMappingW и MapViewOfFile. Содержимое этих свежеотображенных библиотек используется для обхода хуков, установленных поставщиками средств безопасности. DragonForce проверяет наличие хук-функций в перечисленных DLL и, при их обнаружении, модифицирует защиту кода функции на PAGE_EXECUTE_READWRITE, записывая неизмененный код из новых отображений.

Перед началом шифрования вымогатель завершает определенные процессы для предотвращения конфликтов блокировки файлов. Для обеспечения работы только одной копии вредоносного ПО создается мьютекс с именем "hsfjuukjzloqu28oajh727190". Управление функциональностью осуществляется через параметры командной строки: -p для указания пути, -m для режима шифрования (все, локальные или сетевые диски), -log для файла журнала, -size для процента шифрования файлов и -nomutex для отключения создания мьютекса.

Процесс шифрования демонстрирует высокую степень адаптивности. DragonForce использует алгоритм ChaCha8. В зависимости от размера и расширения файла применяются разные стратегии. Файлы размером менее 3 МБ шифруются полностью, о чем свидетельствует добавление 0x24 в конец файла. Для файлов большего размера шифруются только первые 3 МБ (маркер 0x26), однако файлы с целевыми расширениями подвергаются полному шифрованию. Файлы, связанные с виртуальными машинами, шифруются на 20%. Для ускорения операций создаются многочисленные потоки, равные количеству процессоров в системе.

Вредоносное ПО проявляет избирательность, исключая из процесса шифрования системные каталоги, такие как Windows, Boot, Temp, и файлы с расширениями .exe, .dll, .sys, что необходимо для сохранения работоспособности системы. Каждый файл шифруется с использованием уникального ключа и одноразового номера (nonce) - 32 и 8 случайных байт соответственно, генерируемых через API CryptGenRandom. После шифрования к именам файлов добавляется расширение .dragonforce_encrypted, а сами имена кодируются в Base32.

Для обеспечения устойчивости DragonForce создает раздел реестра dragonforce_encrypted в HKEY_CLASSES_ROOT. На каждом пройденном диске создается файл readme.txt с требованиями выкупа, а также изменяется фон рабочего стола. Вредоносное ПО активно удаляет теневые копии томов через WMI-запрос "SELECT * FROM Win32_ShadowCopy", лишая жертв возможности восстановить данные стандартными средствами системы.

Тактики, техники и процедуры (TTP) группы DragonForce полностью соответствуют матрице MITRE ATT&CK, начиная от первоначального доступа через фишинг и выполнения кода пользователем, до повышения привилегий, обхода защиты, обнаружения файлов, перемещения по сети с помощью RDP (Remote Desktop Protocol) и управления через веб-протоколы на прикладном уровне.

Анализ указывает на то, что полезные нагрузки DragonForce являются производными от утекшего исходного кода вымогателей LockBit 3.0 и Conti. Сочетание агрессивной стратегии двойного шантажа, технически сложных механизмов обороны и модели RaaS делает DragonForce значительной угрозой для организаций по всему миру, требующей повышенных мер защиты, включая регулярное обновление программного обеспечения, обучение сотрудников и наличие проверенных резервных копий данных.

MD5

• 9db8f7378e2df01c842cfcb617e64475

SHA1

• eada05f4bfd4876c57c24cd4b41f7a40ea97274c

SHA256

• b9bba02d18bacc4bc8d9e4f70657d381568075590cc9d0e7590327d854224b32
• c844d02c91d5e6dc293de80085ad2f69b5c44bc46ec9fdaa4e3efbda062c871c

Mutex

• hsfjuukjzloqu28oajh727190