Η σκηνή ransomware αναδιοργανώνει, με μια συμμορία γνωστή ως Dragonforce να εργάζεται για να συγκεντρώσει άλλες επιχειρήσεις κάτω από μια δομή που μοιάζει με καρτέλ.
Το Dragonforce ενθαρρύνει τώρα τους ηθοποιούς ransomware με ένα μοντέλο διανομής θυγατρικών, παρέχοντας άλλες λειτουργίες ransomware-as-a-service (RAAS) ένα μέσο για την εκτέλεση της επιχείρησής τους χωρίς να ασχολούνται με το κόστος συντήρησης και την προσπάθεια υποδομής.
Ο εκπρόσωπος μιας ομάδας δήλωσε στον BleepingComputer ότι είναι καθαρά οικονομικά κίνητρα, αλλά ακολουθούν επίσης μια ηθική πυξίδα και είναι αντίθετα με την επίθεση ορισμένων οργανώσεων υγειονομικής περίθαλψης.
Συνήθως, μια επιχείρηση RAAS έχει τις δικές της θυγατρικές ή συνεργάτες και ο προγραμματιστής ransomware παρέχει το κακόβουλο λογισμικό και την υποδομή.
Οι θυγατρικές θα δημιουργήσουν μια παραλλαγή του πακέτου κρυπτογράφησης, θα παραβιάζουν τα δίκτυα θύματος και θα αναπτύξουν το ransomware. Θα διαχειρίζονταν επίσης τα κλειδιά αποκρυπτογράφησης και συνήθως θα διαπραγματευτούν με το θύμα για πληρωμή λύτρας.
Ο προγραμματιστής διατηρεί επίσης μια λεγόμενη τοποθεσία διαρροής δεδομένων (DLS) όπου δημοσιεύουν πληροφορίες που κλέβονται από τα θύματα που δεν πληρώνουν τον επιτιθέμενο.
Σε αντάλλαγμα για τη χρήση του κακόβουλου λογισμικού και της υποδομής τους, ο προγραμματιστής χρεώνει ένα τέλος από ληφθέντα λύτρα που είναι συνήθως μέχρι 30%.
Η επιχείρηση ransomware dragonforce
Το Dragonforce ονομάζεται τώρα “cartel ransomware” και παίρνει το 20% των πληρωμένων λύτρα.
Σύμφωνα με το μοντέλο της, οι θυγατρικές έχουν πρόσβαση στην υποδομή (εργαλεία διαπραγμάτευσης, αποθήκευση για κλεμμένα δεδομένα, διαχείριση κακόβουλου λογισμικού) και χρησιμοποιούν τον κρυπτογραφητή Dragonforce με το δικό τους branding.
Η ομάδα ανακοίνωσε τη “νέα κατεύθυνση” τον Μάρτιο, λέγοντας ότι οι θυγατρικές μπορούν να δημιουργήσουν το “δικό τους εμπορικό σήμα, υπό την αιγίδα ενός ήδη αποδεδειγμένου εταίρου”.
Όπως λέει η παρακάτω ανάρτηση, το Dragonforce στοχεύει στη διαχείριση των “απεριόριστων εμπορικών σημάτων” που μπορούν να στοχεύσουν στα συστήματα ESXI, NAS, BSD και Windows.
πηγή: Ασφαλές εργοστάσιο
Ο Dragonforce δήλωσε στον BleepingComputer ότι η δομή τους είναι αυτή μιας αγοράς, όπου οι θυγατρικές μπορούν να επιλέξουν να αναπτύξουν επιθέσεις κάτω από το εμπορικό σήμα Dragonforce ή διαφορετικό.
Βασικά, οι ομάδες απειλών που μπορούν να χρησιμοποιήσουν την υπηρεσία και τη λευκή ετικέτα με το δικό τους όνομα, έτσι φαίνεται ότι είναι το δικό τους εμπορικό σήμα.
Σε αντάλλαγμα, δεν χρειάζεται να ασχολούνται με τον πονοκέφαλο της διαρροής δεδομένων και των διαπραγματευτικών περιοχών, να αναπτύξουν κακόβουλο λογισμικό ή να ασχοληθούν με τις διαπραγματεύσεις.
Ωστόσο, υπάρχουν κανόνες για να συμμορφωθούν, και οι θυγατρικές θα εκτοξευθούν στο πρώτο λάθος. “Είμαστε ειλικρινείς εταίροι που σέβονται τους κανόνες”, μας είπε ο εκπρόσωπος του Dragonforce.
“Πρέπει να ακολουθήσουν τους κανόνες και μπορούμε να το ελέγξουμε επειδή όλα όσα τρέχουμε είναι στους διακομιστές μας, διαφορετικά δεν θα είχε νόημα”, λέει ο Dragonforce.
Οι κανόνες αυτοί, ωστόσο, είναι διαθέσιμοι μόνο για τους ηθοποιούς απειλής που αγκαλιάζουν το πρόσφατα προτεινόμενο επιχειρηματικό μοντέλο ransomware.
Όταν ρωτήθηκε αν τα νοσοκομεία ή οι οργανώσεις υγειονομικής περίθαλψης είναι εκτός ορίων, ο Dragonforce δήλωσε ότι όλα εξαρτώνται από τον τύπο του νοσοκομείου και έδειξαν τι θα μπορούσε να περιγραφεί ως ενσυναίσθηση.
“Δεν επιτεθούμε σε καρκίνο ασθενείς ή τίποτα που σχετίζεται με την καρδιά, θα τους στείλουμε προτιμούμε να τους στείλουμε χρήματα και να τους βοηθήσουμε.
Οι ερευνητές της Cybersecurity Company SecureWorks λένε ότι το μοντέλο του Dragonforce μπορεί να προσελκύσει ένα ευρύτερο φάσμα θυγατρικών και να προσελκύσει λιγότερο τεχνικούς ηθοποιούς.
“Ακόμη και οι εκλεπτυσμένοι ηθοποιοί απειλών μπορούν να εκτιμήσουν την ευελιξία που τους επιτρέπει να αναπτύξουν το δικό τους κακόβουλο λογισμικό χωρίς να δημιουργούν και να διατηρούν τη δική τους υποδομή” – Ασφαλές εργοστάσιο
Με την αύξηση της βάσης θυγατρικών, το Dragonforce θα μπορούσε να εξετάσει τα μεγαλύτερα κέρδη που οδηγούνται από την ευελιξία του προτεινόμενου μοντέλου.
Δεν είναι σαφές πόσοι θυγατρικές ransomware έχουν επικοινωνήσει με το Dragonforce Cartel σχετικά με το νέο μοντέλο υπηρεσίας, αλλά ο ηθοποιός απειλής δήλωσε ότι ο κατάλογος μελών περιλαμβάνει γνωστές συμμορίες.
“Δεν μπορώ να σας πω τον ακριβή αριθμό, αλλά έχουμε παίκτες που έρχονται σε μας ότι συχνά γράφετε και θέλετε να συνεργαστείτε μαζί μας”, δήλωσε ο Dragonforce στο BleePingComputer.
Μια νέα συμμορία ransomware που ονομάζεται Ransombay έχει ήδη εγγραφεί στο μοντέλο του Dragonforce.
VIA: bleepingcomputer.com
