Το DragonForce είναι η πιο πρόσφατη μάρκα ransomware που μεταβαίνει από τις θορυβώδεις αναρτήσεις φόρουμ σε πλήρεις λειτουργίες RaaS, στοχεύοντας τόσο σε περιβάλλοντα Windows όσο και σε περιβάλλον VMware ESXi.
Εμφανίστηκε για πρώτη φορά τον Δεκέμβριο του 2023 στο BreachForums, η ομάδα διαφημίζει κλεμμένα δεδομένα και χρησιμοποιεί ένα σκοτεινό ιστολόγιο για να πιέσει τα θύματα. Η πρώιμη ανάρτηση διαρροής αποκάλυψε τη νέα επιχείρηση τύπου καρτέλ.
Η ομάδα κατασκεύασε το ωφέλιμο φορτίο της από το LockBit 3.0 που διέρρευσε και τον κώδικα Conti, αλλά το συντόνισε για ευέλικτη, υψηλής ταχύτητας κρυπτογράφηση σε τοπικούς δίσκους και κοινόχρηστα στοιχεία δικτύου.
Οι χειριστές συνήθως αποκτούν πρόσβαση μέσω εκτεθειμένων διακομιστών απομακρυσμένων επιτραπέζιων υπολογιστών και στη συνέχεια χρησιμοποιούν εργαλεία όπως το Cobalt Strike και το SystemBC για να μετακινηθούν πλευρικά πριν από την εκκίνηση του ransomware. Ο αντίκτυπος κυμαίνεται από κρυπτογραφημένους διακομιστές αρχείων και εικονικές μηχανές έως κλεμμένα δεδομένα που προετοιμάζονται για δημόσια κυκλοφορία.
.webp.png "Οι ερευνητές αναλύουν το DragonForce Ransomware μαζί με το Decryptor για συστήματα ESXi και Windows")
αναλυτές της S2W αναγνωρισθείς μια προσαρμοσμένη έκδοση DragonForce που κρύβει σχεδόν όλες τις συμβολοσειρές με μια εγχώρια ρουτίνα αποσυμφόρησης και βασίζεται στο ChaCha8 συν RSA-4096 για κρυπτογράφηση αρχείων.
Η έρευνά τους δείχνει ότι οι σημαίες γραμμής εντολών επιτρέπουν στις θυγατρικές να επιλέγουν τοπικές, μόνο δικτυακές ή μικτές λειτουργίες και ακόμη και να συντονίζουν αναλογίες μερικής κρυπτογράφησης για να επιταχύνουν τις επιθέσεις. Ενώ το DLS του δείχνει την εσωτερική ροή εργασιών από την αποκρυπτογράφηση διαμόρφωσης έως τη θανάτωση διεργασιών και την κρυπτογράφηση αρχείων.
.webp.png "Οι ερευνητές αναλύουν το DragonForce Ransomware μαζί με το Decryptor για συστήματα ESXi και Windows")
Κατά τη διάρκεια του ευρύτερου κυνηγιού απειλών, οι ερευνητές του S2W απέκτησαν έναν λειτουργικό αποκρυπτογραφητή τόσο για συστήματα Windows όσο και για συστήματα ESXi, δίνοντας σε ορισμένα θύματα μια διαδρομή προς την ανάκαμψη χωρίς να πληρώσουν λύτρα.
Το εργαλείο των Windows αναζητά αρχεία με την επέκταση .RNP, ενώ η έκδοση ESXi ελέγχει για αρχεία .RNP_esxi που επίσης τελειώνουν με μια συγκεκριμένη μαγική τιμή οκτώ byte που ονομάζεται build_key. Εκτός από αυτό, χαρτογραφεί την πλήρη αλυσίδα αποκρυπτογράφησης από τη φόρτωση του κλειδιού RSA έως την ανάλυση μεταδεδομένων και την αποκατάσταση αρχείων.
.webp.png "Οι ερευνητές αναλύουν το DragonForce Ransomware μαζί με το Decryptor για συστήματα ESXi και Windows")
Αυτή η πλήρης τεχνική ανάλυση δίνει στους υπερασπιστές πληροφορίες για τα εργαλεία και τις επιλογές ανάκτησης του DragonForce.
Ροή εργασιών κρυπτογράφησης και αποκρυπτογράφησης
Κατά την εκτέλεση, το ransomware αποκρυπτογραφεί πρώτα την εσωτερική του διαμόρφωση χρησιμοποιώντας το ChaCha8 και στη συνέχεια διαβάζει επιλογές όπως η λειτουργία κρυπτογράφησης και η διαδρομή στόχου.
.webp.png "Οι ερευνητές αναλύουν το DragonForce Ransomware μαζί με το Decryptor για συστήματα ESXi και Windows")
Μια κοινή εντολή που βλέπουν οι αναλυτές της S2W είναι dragonforce.exe -m net -p C:\\ -j 8το οποίο λέει στο κακόβουλο λογισμικό να χτυπήσει στόχους δικτύου κάτω από αυτήν τη διαδρομή με πολλαπλά νήματα εργασίας.
.webp.jpeg "Οι ερευνητές αναλύουν το DragonForce Ransomware μαζί με το Decryptor για συστήματα ESXi και Windows")
Καθώς σαρώνει τοπικές και απομακρυσμένες διαδρομές, το DragonForce παρακάμπτει τις βασικές περιοχές του συστήματος και, στη συνέχεια, κρυπτογραφεί τα επιλεγμένα αρχεία. Για μεγάλες εικόνες εικονικού δίσκου κρυπτογραφεί μόνο κομμάτια αντί για ολόκληρο το αρχείο για εξοικονόμηση χρόνου.
Στο τέλος κάθε αρχείου γράφει 534 byte μεταδεδομένων με ένα κλειδί ChaCha8 κρυπτογραφημένο με RSA και σημαίες nonce plus που αποθηκεύουν τη λειτουργία, την αναλογία και το αρχικό μέγεθος.
