DragonForce ransomware csoport
A DragonForce néven ismert kiberbűnözői csoport világszerte a gyártó, ingatlan- és szállítmányozási iparágakat támadja két hírhedt ransomware módosított változatával – közölték 2024. szeptember 25-én a szingapúri Group-IB kutatói. A csoport eszköztárában egy kiszivárgott LockBit ransomware-en alapuló rosszindulatú szoftver, valamint egy fejlett funkciókkal rendelkező, testre szabott Conti-változat is megtalálható. Ezeknek a rosszindulatú eszközöknek a bevetése nem meglepő, mivel a modern ransomware üzemeltetők „egyre gyakrabban használják újra és módosítják a kiszivárgott, jól ismert ransomware családok builder-eit, hogy a saját igényeikre szabják azokat” – mondták a Group-IB kutatói. A Conti, a Babuk és a LockBit a gyakori módosított családok közé tartoznak.
Az elmúlt évben a Group-IB megfigyelte, hogy a DragonForce 82 áldozatot célzott meg, főként az Egyesült Államokban, majd az Egyesült Királyságban és Ausztráliában. A DragonForce ransomware szolgáltatásként (ransomware-as-a-service, RaaS) működik, és gondosan kiválasztja a partnereit, előnyben részesítve a tapasztalt kiberbűnözőket, akik nagy értékű célpontokra összpontosítanak. A DragonForce partnerei a váltságdíj 80%-át kapják. A csoport lehetővé teszi számukra, hogy eszközeit az adott támadásokhoz igazítsák, beleértve a titkosítási paraméterek beállítását és a váltságdíjfizetési feljegyzések személyre szabását.
A DragonForce üzemeltetői kettős zsarolási technikát alkalmaznak: a szervezet szerverein lévő adatok titkosítása mellett az áldozat érzékeny adatait is ellopják, és azzal fenyegetőznek, hogy kiszivárogtatják azokat. Ezután váltságdíjat követelnek, cserébe egy dekódolóért és azért az „ígéretért”, hogy az ellopott adatok nem kerülnek nyilvánosságra. Ez a megközelítés jelentős nyomást gyakorol az áldozatokra, hogy teljesítsék a támadók követeléseit, mivel az adatok nyilvánosságra kerülése potenciális károkat okozhat a hírnevüknek, a magánéletüknek vagy az üzletmenetük folytonosságának – mondta a Group-IB.
A DragonForce a kiszivárgott LockBit 3.0 és Conti builder-eken kívül más eszközöket is használ a támadásai során, többek között a SystemBC backdoor-t a perzisztenciához, a Mimikatz-t és a Cobalt Strike-ot a hitelesítő adatok begyűjtéséhez, valamint a Cobalt Strike-ot az oldalirányú mozgáshoz is.
