DragonForce勒索软件技术分析与威胁演变

qife122
9 阅读12分钟

勒索软件教父?深入解析DragonForce的犯罪联盟野心

某机构的威胁情报团队对DragonForce勒索软件组织进行了分析,该组织于2023年底出现,成为一个重要的网络威胁行为者。 DragonForce采用先进的方法,使用双重勒索策略,不仅加密关键业务数据,还窃取敏感信息,威胁在暗网泄露站点上公开,除非支付赎金。 DragonForce攻击了多个行业,尤其关注制造业和建筑业,并影响了一些知名组织。该组织通过不断改进其工具和战术显示出适应性,从专用的受害者站点转向用于托管泄露数据的集中式域名。这种快速的演变使其成为全球企业持续且不断增长的威胁。

关键要点

  • 先进的勒索软件功能与多平台支持:DragonForce提供了一个高度灵活的勒索软件即服务平台,支持多种加密模式,包括完全加密、头部加密和部分加密,涵盖多个平台,包括Windows、Linux、ESXi和NAS系统。
  • DragonForce勒索软件犯罪联盟的新战略方向:DragonForce宣布了其运营模式的转变,现在允许附属组织在DragonForce勒索软件犯罪联盟的保护伞下创建自己的品牌。这个新方向使附属组织能够运行自己的“项目”,提供更多自主权,同时仍受益于联盟的基础设施和经验。该联盟目前处于全球更新模式,预示着其运营战略的变化以及潜在附属网络的扩张。
  • DragonForce的主要目标行业和国家:DragonForce主要针对制造业、商业服务、技术和建筑业。该组织的攻击在美国、英国、德国、澳大利亚和意大利最为普遍。这些行业和国家代表了DragonForce勒索软件活动的最高集中地。

DragonForce勒索软件即服务

DragonForce勒索软件即服务平台概览 DragonForce勒索软件即服务平台为网络犯罪附属组织提供了一套全面的服务和工具,使其能够在包括Windows、Linux、ESXi、BSD和NAS系统在内的各种平台上发动勒索软件攻击。 该平台承诺所有流程的完全自动化,包括文件加密、服务器管理和攻击执行。 其设计高度灵活,支持完全加密、头部加密和部分加密模式,可定制的单个文件加密选项、延迟启动以及本地和网络模式。

该平台的主要功能包括:

  • 一个团队内无限数量的品牌,允许附属组织独立运作。
  • 提供PB级存储,拥有用于7x24小时监控服务器的专用基础设施。
  • 免费的合作伙伴服务,包括专业的文件分析、复杂哈希值的解密以及为附属组织文件提供的专用存储空间。
  • 多线程能力以提高性能,以及用于跟踪加密进程的详细日志记录。
  • 无需实际加密即可进行勒索软件“干运行”的选项,帮助附属组织在部署前测试攻击。

该服务还支持跨平台加密,适用于广泛的操作系统,确保DragonForce能够将其攻击扩展到不同的环境。

命令行参数:

  • -paths:在文件系统中强制启用搜索模式。
  • -vmsvc:使用vim-cmd强制启用ESXi检测模式搜索。
  • -n:不执行加密/解密(仅文件检测)。
  • -h H -m M -s S:在开始前等待H小时、M分钟和S秒。
  • -e M X Y:带参数M、X和Y的加密模式。
  • -p PATH:重定义用于检测的文件系统路径。
  • -l LOGFILE:重定义日志文件位置。
  • -j X:重定义要使用的线程数。
  • -q:禁用向STDOUT输出。
  • -v:启用详细日志记录。
  • -wvi ID:按ID重定义被忽略的BM(业务机器?)列表。
  • -wv NAME:按名称重定义被忽略的BM列表。

配置文件选项:

  • dry_run:无实际加密/解密的模式(用于测试)。
  • encryption.extension:定义加密文件的文件扩展名。
  • encryption.rename:重命名加密文件。
  • encryption.mode:指定加密模式(选项:striped、percent、header、normal)。
  • encryption.p1encryption.p2:加密模式的参数。
  • work_mode:指定工作模式(选项:vmsvc、paths)。
  • paths:用于加密文件的路径。
  • note_file:存储勒索说明的文件名。
  • log.file:日志文件路径。
  • log.encrypted:启用加密日志记录。
  • delay:开始加密过程前的延迟(秒)。
  • whitelist.paths:从加密中排除的目录。
  • whitelist.extensions:从加密中排除的文件扩展名。
  • whitelist.filenames:从加密中排除的特定文件名。
  • whitelist.vm_ids:从加密中排除的虚拟机ID。
  • whitelist.vm_names:从加密中排除的虚拟机名称。

DragonForce最近为有兴趣加入其勒索软件运营的人创建了一个自动注册服务。这一变化使新的附属组织无需事先批准或广泛的审查即可直接注册,而先前的做法需要大量的货币存款和详细的背景调查。

DragonForce还宣布其即将推出的“产品”DragonForce - Atom将很快发布。但该组织尚未公布有关新产品的详细信息。

通过数据审计实现勒索软件运营专业化

DragonForce并未宣传恶意软件或访问权限,而是创建了“公司数据审计”服务,以在勒索活动期间支持其附属组织。该服务被定位为对解密和谈判支持的补充,其既定目标是通过分析被盗数据并明确阐述业务、法律和声誉风险来加强对受害者的影响力。 审计包括详细的风险报告、准备好的沟通材料(例如通话脚本和高管级别的信件)以及旨在影响谈判的战略指导。提供的一个例子涉及一家矿业公司被入侵,其中被盗的卫星图像据称暴露了敏感的矿藏位置,说明了该组织强调从外泄数据中提取战略性和非显而易见的价值。该服务采用基于佣金的模式提供,对事后或“历史性”案例收取更高的百分比。 总体而言,其内容突显了勒索软件运营的持续专业化及其支持生态系统的扩展。这反映了一种向情报驱动的勒索策略的转变,威胁行为者投资于数据分析、定制化消息传递和谈判策略,以最大化赎金结果,模仿了合法的咨询和风险评估实践。

DragonForce Vs RansomHub

在宣布转型为勒索软件犯罪联盟后,DragonForce积极打击竞争对手,发起了骚扰活动,并在24小时内篡改了竞争对手BlackLock的泄露网站。 随后,该组织将注意力转向了RansomHub,后者的基础设施于2025年4月1日下线。DragonForce声称RansomHub已加入该联盟,甚至为迁移并采用DragonForce品牌的前RansomHub附属组织创建了一个专用门户。RansomHub公开进行了反击,其发言人Koley指责DragonForce进行破坏、内部背叛,甚至与执法部门合作。

作为DragonForce和RansomHub之间冲突升级的一部分,RansomHub的发言人公开指控DragonForce与俄罗斯联邦安全局情报部门有联系,暗示DragonForce利用这些关系来破坏或损害竞争对手的勒索软件组织。 DragonForce还通过篡改其泄露网站的方式针对了BlackLock勒索软件组织。

网络犯罪联盟的形成

我们的威胁情报团队掌握的信息显示,DragonForce勒索软件组织的代表发出了在主要勒索软件运营之间进行合作的公开呼吁,并明确点名了LockBit和Qilin。也有证据表明Nova RaaS组织的代表参与了这项倡议。 DragonForce代表的留言提议在组织之间建立沟通渠道,标准化竞争条件,并消除公开冲突。作者主张制定相互商定的规则,包括为附属组织提供平等条件,不压低存款或利润分成百分比,以及保持专业的行为水平。其声明的目标是稳定勒索软件“市场”,增加集体利润,并呈现统一的战线。 在发出公开合作呼吁后不久,DragonForce发布了官方声明,宣布在Qilin、LockBit和DragonForce之间形成一个“联盟”。

DragonForce还是DragonForce?

声称DragonForce Malaysia与DragonForce勒索软件组织之间存在关系的说法仍未得到证实。2025年10月28日,DragonForce Malaysia公开否认与DragonForce勒索软件运营有任何关联或参与,称此类指控基于间接和薄弱的证据,并且勒索软件活动与其使命和目标不一致。

在与DragonForce用户名相关的BreachForums泄露数据库中,发现一个用户使用电子邮件地址bjorkaact@进行了注册。 Bjorka是一个众所周知的网络威胁行为者别名,与一系列高调的数据泄露和泄漏事件相关,首次出现在像RaidForums这样的地下论坛,后来出现在BreachForums。 别名Bjorka与Babuk2或“Babuk-Bjorka”相关联,后者于2025年初出现,主要回收已被RansomHub和FunkSec等其他组织泄露的数据。

在2026年1月从较新版本的BreachForums泄露的数据库中,一个与DragonForce昵称相关的用户使用电子邮件地址Albikatoras555[@]protonmail[.]com进行了注册。

此外,开源情报表明,DragonForce勒索软件的Onion博客与一个明网IP地址相关联,该IP地址出现在FOFA搜索结果中,显示其托管在位于俄罗斯联邦境内的基础设施中。 该IP关联首先被@RakeshKrish12发现,并由我们的威胁情报团队独立确认。 目前,DragonForce组织已修复了IP泄漏问题,因此其Onion网站不易在公共互联网上定位。

在观察到托管DragonForce基础设施的其他IP中,我们注意到以下IP地址正在使用:

  • 193[.]233.175.213
  • 95[.]164.53.64
  • 91[.]108.244.85
  • 46[.]29.238.160
  • 46[.]29.238.123
  • 87[.]121.47.15

技术分析

在本节中,我们对勒索软件可执行文件进行了分析,并观察到其技术与其他勒索软件组织的相似之处。 文件哈希如下: c5554ab2ea04e9d938a47b09ea34ebedb46c223a500aa70f08f4b2dc6864bd90 互斥体hsfjuukjzloqu28oajh727190是一个硬编码的标识符,首次在源自泄露的Conti源代码的勒索软件样本中记录,用于确保在受害者的机器上一次只运行一个恶意软件实例。该互斥体出现在已知重用Conti组件的勒索软件家族中,包括DragonForce变体。

DragonForce勒索软件组织已知在其操作期间会扫描IP范围内的SMB端口。此扫描是该组织网络侦察活动的一部分,用于识别易受攻击的系统和潜在的勒索软件部署目标。

该组织利用带有shadowcopy函数的wmic.exe命令,具体使用命令wmic.exe shadowcopy where "ID='{id}'" delete。此命令用于删除卷影副本,勒索软件通常使用它来擦除文件的备份副本。

某平台成功检测到与DragonForce勒索软件相关的恶意负载,识别并阻止了其通过wmic.exe命令删除卷影副本的企图。此外,该产品检测并阻止了勒索软件加密文件,确保关键数据保持完整和安全。

分析表明,DragonForce是一个高度适应、快速发展的勒索软件运营组织,它结合了复杂的RaaS功能、双重勒索策略和跨平台能力(Windows、Linux、ESXi)。凭借其自动化的持久性机制、灵活的传播方法以及对附属组织的广泛支持,DragonForce可以高效地扩展其攻击并绕过基本防御。其迅速发布受害者数据、强大的加密能力、EDR规避技术和横向移动能力,使其成为对全球各行业组织的持续且重大的威胁。

建议:

  • 追踪DragonForce勒索软件附属组织的活动,以识别勒索软件攻击前的行为。
  • 推广网络安全最佳实践,如多因素身份验证和补丁管理。
  • 定期备份文件并制定备份流程和政策:从备份恢复文件是重新获得数据访问权限的最快方式。
  • 保持系统完全打补丁:确保系统已修补以缓解漏洞。
  • 如果检测到恶意活动,立即启用事件响应服务,执行彻底的调查和遏制流程,以将威胁行为者完全从受感染的网络中清除。
  • 对于使用某防御平台的客户:DragonForce勒索软件可通过该防御平台的默认配置检测到。为确保有效检测和预防DragonForce相关活动,必须启用以下安全功能:
    • 启用反恶意软件并将反恶意软件签名模式设置为阻止、隔离或清除。
    • 启用反勒索软件,将反勒索软件设置为隔离模式并启用卷影副本保护。
    • 启用应用程序控制。
    • 在行为执行防护上启用变体负载防护,并启用阻止模式。

IOCs

MITRE ATT&CK映射

avatar
文章
阅读
粉丝