Давайте жить дружно (и грабить вместе). DragonForce призвала крупнейшие банды мира договориться о правилах «хакерского картеля»

Группировка вымогателей DragonForce за неполные два года превратилась из малоизвестного проекта в одного из самых агрессивных игроков на рынке цифрового шантажа. Аналитики компании Cybereason сообщают, что операторы не просто проводят атаки, а выстраивают целую «картельную» модель и пытаются объединить вокруг себя другие банды.

DragonForce появилась в конце 2023 года и быстро заявила о себе серией атак на крупные организации. Преступники используют двойную схему давления. Они не только шифруют данные компаний, но и заранее похищают конфиденциальные файлы. Если жертва отказывается платить, информацию обещают выложить в теневом сегменте сети. Чаще всего под удар попадали производственные предприятия, строительные компании, поставщики деловых услуг и технологические фирмы. Больше всего инцидентов зафиксировано в США, Великобритании, Германии, Австралии и Италии.

Специалисты отмечают, что злоумышленники предлагают партнерам готовую услугу «вымогатель как сервис». По сути, это конструктор атак с поддержкой разных систем, включая Windows, Linux и серверные платформы виртуализации. В набор входят разные режимы шифрования файлов, настройка задержки запуска, работа в несколько потоков и подробные журналы действий. Есть даже тестовый режим, который позволяет проверить атаку без реального шифрования. Недавно операторы упростили подключение новых участников и запустили автоматическую регистрацию без прежних строгих проверок.

DragonForce объявила и о смене стратегии. Теперь партнерам разрешено создавать собственные «бренды» внутри картеля и вести отдельные проекты, используя общую инфраструктуру. Параллельно группа начала агрессивную кампанию против конкурентов. По данным Cybereason, она взломала и испортила сайт утечек другой банды, а также заявила о «присоединении» группировки RansomHub. Та публично это отрицала и обвинила соперников в саботаже и связях со спецслужбами. Позже представители DragonForce выступили с призывом к крупным бандам договориться о правилах работы и объявили о создании коалиции с рядом известных вымогательских проектов.

Отдельное направление деятельности выглядит особенно показательно. Вместо простой публикации украденных файлов преступники запустили услугу «аудита данных компании». Партнерам предлагают анализ похищенной информации, оценку деловых и репутационных рисков жертвы и даже готовые тексты писем, и сценарии переговоров для давления на руководство. Фактически речь идет о «консалтинге» для шантажа, что говорит о росте организованности и профессионализации преступной среды.

Технический разбор образцов показал сходство с ранее утекшими наработками других вымогателей. Вредоносная программа сканирует сеть, ищет открытые сетевые службы, удаляет теневые копии файлов через системные утилиты и тем самым лишает жертву возможности быстрого восстановления. Также используются механизмы обхода защитных средств и распространения по внутренней сети.

Специалисты подчеркивают, что DragonForce быстро меняет инструменты и тактику, активно расширяет партнерскую сеть и повышает эффективность атак. Это делает группировку устойчивой угрозой для компаний из самых разных отраслей. Специалисты советуют уделять особое внимание обновлению систем, многофакторной проверке входа, резервному копированию и раннему обнаружению подозрительной активности внутри сети.