DragonForce ransomware se istakao kao jedna od najsofisticiranijih prijetnji u kibernetičkom kriminalnom ekosistemu, transformišući se od hakivističkog kolektiva u zrelu Ransomware-as-a-Service (RaaS) operaciju od svog debija u decembru 2023. godine.
Grupa je prvobitno stekla zloglasnost kroz ideološki motivisane kibernetičke napade na organizacije čije su vrijednosti bile u sukobu s njihovim političkim stavovima, ali se od tada preorijentisala na isključivo financijske motive, uspostavivši se kao dominantan igrač na globalnom tržištu ransomwarea.
Ono što izdvaja ovaj ransomware je njegova visoko modularna arhitektura koja omogućava pridruženim članovima (affiliates) neviđene mogućnosti prilagođavanja. Kroz svoju sofisticiranu RaaS platformu, DragonForce pruža sveobuhvatan set alata koji omogućava akterima prijetnji da kreiraju prilagođene ransomware pakete, posebno dizajnirane za ciljana okruženja.
Ova fleksibilnost je omogućila uspješne kampanje u raznim industrijama, s posebno razornim posljedicama po proizvodni, financijski i maloprodajni sektor širom Sjeverne Amerike, Evrope i Azije.
Istraživači iz DarkAtlas-a su identificirali da se tehnička osnova DragonForce-a temelji na procurjelom graditelju LockBit 3.0, koji je grupa opsežno modificirala kako bi uključila napredne sposobnosti izbjegavanja i pojednostavljene mehanizme implementacije. Platforma nudi prilagodljivi graditelj paketa koji omogućava pridruženim članovima modifikaciju modula enkripcije, bilješki o otkupnini i ponašanja lateralnog kretanja u skladu sa specifičnim operativnim zahtjevima.
Dodatno, sistem uključuje enkripcijske algoritme optimizirane za prikriveno djelovanje, dizajnirane da zaobiđu rješenja za detekciju i odgovor na krajnjim tačkama (EDR), višejezične portale za žrtve za globalne operacije, te sveobuhvatnu podršku za pridružene članove, uključujući tehničku dokumentaciju.
Model prihoda grupe funkcionira na sistemu dijeljenja prihoda po nivoima koji podstiče destruktivnije kampanje, stvarajući konkurentno okruženje među pridruženim članovima, što je doprinijelo brzoj proliferaciji ransomwarea. Njihova centralizirana platforma za pridružene članove pruža svakom partneru jedinstvene kontrolne paneele s nadzornim pločama za praćenje prihoda, sistemima za upravljanje žrtvama i direktnom integracijom s njihovim “DragonLeaks” web sajtom za objavu ukradenih podataka, čime se pojačava pritisak za otkupninu.
Najzabrinjavavije tehničko unapređenje DragonForce-a leži u njegovim sofisticiranim sposobnostima izbjegavanja koje kombiniraju više slojeva zaobilaženja odbrane. Malware koristi povremene obrasce enkripcije koji znatno otežavaju detekciju od strane tradicionalnih sigurnosnih rješenja.
Umjesto da datoteke šifruje u predvidljivim sekvencama, ransomware koristi nasumične intervale enkripcije koji mogu izbjeći sisteme za detekciju zasnovanu na ponašanju, oslanjajući se na konzistentne obrasce modifikacije datoteka. Grupa je integrisala tehniku “Bring Your Own Vulnerable Driver” (BYOVD) kako bi onemogućila EDR i XDR sisteme zaštite na nivou kernela.
Ovaj pristup podrazumijeva implementaciju legitimnih, ali ranjivih drajvera koji se mogu eksploatisati za dobijanje povišenih privilegija i prekidanje sigurnosnih procesa. Paket malwarea uključuje SystemBC, multifunkcionalni backdoor koji uspostavlja šifrovane kanale komandovanja i kontrole, istovremeno pružajući trajni pristup za izviđačke aktivnosti. Ove mogućnosti su poboljšane mehanizmima protiv analize dizajniranim da detektuju i izbjegnu sandbox okruženja, čime se forenzičke istrage znatno usložnjavaju za sigurnosne istraživače.
