DragonForce ransomware, ranije poznat kao haktivistički kolektiv, od decembra 2023. godine transformisao se u zrelu Ransomware-as-a-Service (RaaS) operaciju, te je postao jedna od najsofisticiranijih prijetnji u kibernetičkom kriminalnom ekosistemu. Grupa je prvobitno stekla zloglasnost kroz ideološki motivisane kibernetičke napade na organizacije čije vrijednosti nisu bile u skladu s njihovim političkim stavovima, ali je od tada preusmjerila svoje djelovanje ka isključivo financijskim motivima, čime se etablirala kao dominantan igrač na globalnom tržištu ransomwarea.
Ključna odlika ovog ransomwarea jeste njegova visoko modularna arhitektura, koja pruža korisnicima neviđene mogućnosti prilagođavanja. Kroz svoju sofisticiranu RaaS platformu, DragonForce nudi sveobuhvatan alatni komplet koji omogućava akterima prijetnje da kreiraju prilagođene ransomware napade, specifično dizajnirane za ciljana okruženja. Ova fleksibilnost je doprinijela uspješnim kampanjama u različitim industrijama, s posebno razornim posljedicama u sektorima proizvodnje, financijskih usluga i maloprodaje, sa čijim su se posljedicama suočile kompanije u Sjevernoj Americi, Evropi i Aziji.
Istraživači iz DarkAtlasa su otkrili da se tehnička osnova DragonForcea temelji na procurjelom builderu LockBit 3.0, koji je grupa značajno modificirala kako bi uključila napredne mehanizme za izbjegavanje detekcije i pojednostavljene metode implementacije. Platforma posjeduje prilagodljivi builder za kreiranje payloadova, koji omogućava korisnicima modifikaciju enkripcijskih modula, bilješki o otkupnini i načina lateralnog širenja unutar mreže, u skladu sa specifičnim operativnim zahtjevima. Dodatno, sistem uključuje enkripcijske algoritme optimizirane za prikrivenost, dizajnirane za zaobilaženje rješenja za detekciju i odziv na krajnjim točkama (EDR), višejezične portale za žrtve prilagođene globalnim operacijama, te sveobuhvatnu podršku za korisnike, uključujući tehničku dokumentaciju.
Model prihoda grupe funkcionira na osnovu sistema raspodjele profita po nivoima, koji dodatno podstiče sprovođenje destruktivnijih kampanja. Ovo stvara konkurentno okruženje među korisnicima, što je doprinijelo brzom širenju ovog ransomwarea. Njihova centralizovana platforma za korisnike svakom partneru pruža jedinstvene kontrolne panele s dashboardima za praćenje prihoda, sistemima za upravljanje žrtvama i direktnom integracijom s njihovim “DragonLeaks” sajtom za curenje podataka, čime se pojačava pritisak za iznudu sredstava.
Najzabrinjavajuće tehničko unapređenje DragonForcea leži u njegovim sofisticiranim mogućnostima izbjegavanja detekcije, koje kombiniraju više nivoa zaobilaženja odbrambenih mehanizama. Malver koristi isprekidane obrasce enkripcije, što otežava detekciju od strane tradicionalnih sigurnosnih rješenja. Umjesto da datoteke enkriptuje po predvidivim sekvencama, ransomware koristi nasumične intervale enkripcije koji mogu izbjeći sisteme za detekciju zasnovanu na ponašanju, koji se oslanjaju na dosljedne obrasce izmjene datoteka.
Grupa je implementirala tehniku “Bring Your Own Vulnerable Driver” (BYOVD) za onemogućavanje EDR i XDR sistema zaštite na nivou kernela. Ovaj pristup podrazumijeva korištenje legitimnih, ali ranjivih drajvera koji se mogu iskoristiti za dobivanje povlašćenih pristupa i gašenje sigurnosnih procesa. Paket malvera uključuje SystemBC, multifunkcionalni backdoor koji uspostavlja enkriptovane kanale za komandu i kontrolu, istovremeno obezbjeđujući trajni pristup za aktivnosti izviđanja. Ove mogućnosti dodatno su poboljšane mehanizmima protiv analize, dizajniranim da detektiraju i izbjegavaju sandbox okruženja, čime se značajno komplikuje forenzička analiza za sigurnosne istraživače.
