Το DragonForce αποτελεί τη νεότερη απειλή στον χώρο του κυνηγιού δεδομένων, εξελισσόμενο από απλές αναρτήσεις σε φόρουμ σε μια πλήρως οργανωμένη επιχείρηση Ransomware-as-a-Service (RaaS). Η ομάδα στοχεύει τόσο περιβάλλοντα Windows όσο και συστήματα VMware ESXi, χρησιμοποιώντας εξελιγμένες μεθόδους πίεσης μέσω dark web blogs.
Η προέλευση και ο τρόπος δράσης της ομάδας
Η πρώτη εμφάνιση της ομάδας έγινε τον Δεκέμβριο του 2023 στο BreachForums. Το λογισμικό τους είναι κατασκευασμένο από κώδικα που διέρρευσε από τα LockBit 3.0 και Conti, αλλά έχει τροποποιηθεί για να προσφέρει ευελιξία και υψηλή ταχύτητα κρυπτογράφησης σε τοπικούς δίσκους και δίκτυα.
Οι επιτιθέμενοι αποκτούν συνήθως πρόσβαση μέσω εκτεθειμένων διακομιστών απομακρυσμένης επιφάνειας εργασίας (RDP). Στη συνέχεια, χρησιμοποιούν εργαλεία όπως το Cobalt Strike για να κινηθούν πλευρικά μέσα στο δίκτυο πριν εξαπολύσουν την τελική επίθεση.
Τεχνική ανάλυση και μέθοδοι κρυπτογράφησης
Αναλυτές της S2W εντόπισαν ότι το DragonForce χρησιμοποιεί μια προσαρμοσμένη ρουτίνα απόκρυψης κώδικα για να προστατεύσει τις συμβολοσειρές του. Η διαδικασία κρυπτογράφησης βασίζεται στους αλγόριθμους ChaCha8 και RSA-4096.
«Το ransomware αποκρυπτογραφεί πρώτα τις εσωτερικές του ρυθμίσεις χρησιμοποιώντας το ChaCha8 και στη συνέχεια διαβάζει επιλογές όπως η λειτουργία κρυπτογράφησης και η διαδρομή-στόχος» αναφέρουν οι ερευνητές.
Οι συνεργάτες της ομάδας μπορούν να επιλέξουν μεταξύ τοπικής ή δικτυακής κρυπτογράφησης, ενώ για μεγάλα αρχεία εικονικών δίσκων επιλέγεται η μερική κρυπτογράφηση τμημάτων για εξοικονόμηση χρόνου.
Η ανακάλυψη του δωρεάν αποκρυπτογραφητή
Το πιο σημαντικό εύρημα της έρευνας είναι ο εντοπισμός ενός λειτουργικού εργαλείου αποκρυπτογράφησης (decryptor). Αυτό δίνει στα θύματα μια διέξοδο ανάκτησης των δεδομένων τους χωρίς την καταβολή λύτρων.
Windows: Το εργαλείο αναζητά αρχεία με την επέκταση .RNP.
ESXi: Η έκδοση για Linux ελέγχει για αρχεία .RNP_esxi που περιέχουν μια συγκεκριμένη τιμή οκτώ byte, γνωστή ως build_key.
Διαδικασία ανάκτησης δεδομένων
Ο αποκρυπτογραφητής χαρτογραφεί πλήρως την αλυσίδα αποκρυπτογράφησης, από τη φόρτωση του κλειδιού RSA έως την ανάλυση των μεταδεδομένων και την αποκατάσταση του αρχείου. Στο τέλος κάθε κρυπτογραφημένου αρχείου, το ransomware αποθηκεύει 534 byte μεταδεδομένων, τα οποία περιλαμβάνουν το κλειδί ChaCha8 και άλλες τεχνικές λεπτομέρειες απαραίτητες για την επαναφορά.
Αυτή η τεχνική ανάλυση παρέχει στους αμυνόμενους κρίσιμες πληροφορίες για τα εργαλεία της DragonForce και τις διαθέσιμες επιλογές ανάκτησης συστημάτων, ενισχύοντας την κυβερνοασφάλεια έναντι αυτής της νέας απειλής.
