80% выкупа - заманчивое предложение для партнеров одной из самых опасных группировок.
В новом отчете Group-IB отмечает, что с 2024 года влияние атак программ-вымогателей будет только усиливаться. Растущая сложность таких атак обусловлена развитием рынка «вымогательского ПО как услуги» (Ransomware-as-a-Service, RaaS), распространением украденных данных на специализированных сайтах и увеличением числа партнёрских программ.
Наиболее заметным трендом в сфере вымогателей стала группа DragonForce, которая была обнаружена в августе 2023 года. Сначала хакеры использовали утечку кода LockBit 3.0, а позже, в июле 2024 года, разработала собственный вариант вредоносного ПО на основе этой утечки. Также в арсенале группы есть модифицированная версия Conti с расширенными функциями. Особенностью группы является модель RaaS, которая позволяет партнёрам использовать готовое программное обеспечение для атак, получая 80% от выкупа.
Тактика DragonForce строится на методе двойного вымогательства: после шифрования данных они угрожают опубликовать украденную информацию, если жертва не заплатит. С июня 2024 года группа запустила партнёрскую программу на подпольном форуме RAMP, предлагая инструменты для управления атаками и автоматизации, а также возможность создавать уникальные версии вирусов.
DragonForce активно использует метод обхода защиты BYOVD (Bring Your Own Vulnerable Driver), позволяющий отключить процессы безопасности и избежать обнаружения. Также киберпреступники очищают журналы событий Windows после шифрования данных, затрудняя последующий анализ инцидента.
В период с августа 2023 по август 2024 года группа атаковала 82 компании из разных сфер, среди которых лидируют производство, недвижимость и транспорт. Большинство атак пришлось на США (52,4%), Великобританию (12,2%) и Австралию (6%). В числе прошлых атак группировки — взлом систем лотереи штата Огайо и правительства Палау.
География атак DragonForce
Кроме LockBit 3.0 и Conti, DragonForce использует и другие инструменты: бэкдор SystemBC для закрепления в системе, Mimikatz и Cobalt Strike для сбора учётных данных, а также Cobalt Strike для перемещения внутри сети.
Эксперты называют DragonForce «серьёзным противником», поскольку группировка нацелена на ключевые отрасли и применяет передовые инструменты и тактики. На данный момент Group-IB не связывает атаки DragonForce с какой-либо конкретной страной или группой лиц, однако ранее исследователи указывали на возможное происхождение группировки из Малайзии.
Одно найти легче, чем другое. Спойлер: это не темная материя