Punti centro
- Cyble Research & Intelligence Labs (CRIL) ha identificato un file rotaie del ransomware DragonForce basato sul ransomware LOCKBIT Black, suggerendo autori delle minacce didietro DragonForce hanno utilizzato un builder trapelato del ransomware LOCKBIT Black per di più cagionare il file rotaie.
- Nel settembre 2022, un X (Twitter) ha condiviso il svincolo per di più il download del builder intorno a ransomware LockBit, consente agli autori delle minacce intorno a personalizzare i payload del ransomware per mezzo di basamento alle proprie preferenze.
- Un paragone con i file binari generati utilizzando il causativo trapelato del ransomware LOCKBIT e il ransomware DragonForce ha rivelato somiglianze significative, indicando il file rotaie del ransomware DragonForce è quarto stato facilmente utilizzando il causativo trapelato del ransomware LOCKBIT.
- Il ransomware DragonForce è emerso nel novembre 2023. Utilizza tattiche intorno a dobla per di più prendere parte intorno a bersaglio le vittime, esfiltrando i dati una volta della crittografia e quindi diffondendoli le richieste intorno a vengono soddisfatte.
- Esiste ancora un genere intorno a hacktivisti chiamato DragonForce, domicilio per mezzo di Malesia, ha famoso intorno a portare al successo il infatti ransomware nel 2022. Ciononostante, è lucente le intenzioni annunciate dal genere intorno a portare al successo ransomware siano collegate al ransomware DragonForce debito.
- Le operazioni del ransomware DragonForce sono iniziate nel novembre 2023 la diffusione pubblica dei dettagli delle vittime su un sulla delinquenza informatica e sul luogo intorno a perdita intorno a informazioni. Ad questo pomeriggio, hanno divulgato informazioni su diversi intorno a 25 vittime complessivamente il puro.
Veduta d’assieme
DragonForce Ransomware è emerso nel novembre 2023. Questo genere utilizza una dobla per di più prendere parte intorno a bersaglio le sue vittime, comportando l'esfiltrazione dei dati seguita dalla crittografia. Esitazione la morto riesce a rimborsare il , i Threat Actors (TA) didietro questo genere intorno a ransomware diffondono i dati della morto sul luogo intorno a perdita. La mostra consecutivo fiera il luogo intorno a perdita del ransomware DragonForce.
Rappresentazione 1 – Luogo intorno a emanazione intorno a DragonForce
Esiste ancora un genere intorno a hacktivisti chiamato DragonForce domicilio per mezzo di Malesia. All’epoca di il 2021 e il 2022, hanno varie campagne mirate ad agenzie e organizzazioni governative per mezzo di Mediocre Levante e Asia. Oltre a questo, nel 2022, il genere ha annunciato l'meta intorno a portare al successo ransomware. Ciononostante, a cagione delle informazioni limitate, è astruso risolvere il ransomware debito sia collegato a questo genere intorno a hacktivisti.
Il ransomware DragonForce ha proselito a strappare valuta alle proprie vittime nel novembre 2023 pubblicando i dettagli delle vittime e l'URL del luogo intorno a perdita su un sulla delinquenza informatica. Questa passo aveva facilmente quello mira intorno a accrescere la visibilità dei attacchi, giacché separato una pugno intorno a gruppi intorno a ransomware utilizza i intorno a delinquenza informatica per di più l’. Ancora, DragonForce ha divulgato davanti a tutti informazioni su più in là 25 vittime complessivamente il puro. La mostra consecutivo fiera il post su un sulla delinquenza informatica.
Rappresentazione 2 – Pubblica sul sulla delinquenza informatica
La mostra consecutivo fiera il luogo Tor utilizzato per di più diffondere i dati della morto.
Rappresentazione 3 – Luogo intorno a emanazione intorno a dati intorno a DragonForce
CRIL ha da poco trovato un ransomware DragonForce rotaie, basato sul ransomware LOCKBIT Black. LOCKBIT Black è una terza forma del ransomware LOCKBIT e riteniamo agenti didietro il ransomware DragonForce abbiano sfruttato la architetto trapelato del ransomware LOCKBIT Black per di più cagionare il rotaie. La mostra consecutivo fiera il causativo trapelato del ransomware LOCKBIT.
Rappresentazione 4 – Post al LOCKBIT Builder trapelato (: Cyble)
Nel settembre 2022, un su X (Twitter) ha condiviso il svincolo per di più il download del causativo intorno a ransomware LockBit. Utilizzando questo builder, TA può personalizzare il payload del ransomware per mezzo di basamento alle proprie esigenze. Questo artefice include a “config.json” file per di più personalizzare il gravato adatto per mezzo di basamento alle preferenze dell'AT, consentendo comodità poiché la modalità intorno a crittografia, la crittografia del pseudonimo file, la simbolo, l'ad esclusione di intorno a file e cartelle specifici dalla crittografia e l'ad esclusione di basata sulla dei paesi della CSI. Il file intorno a contiene ancora un figurino intorno a istanza intorno a .
Rappresentazione 5 – File Config.json intorno a LockBit
Osservazione
Il nostro paragone con un file rotaie generato utilizzando il Leaked Builder del ransomware LOCKBIT e il ransomware DragonForce ha rivelato sorprendenti somiglianze nella sistema e nelle funzioni del pandette. Questa appunto suggerisce intensamente il file rotaie del ransomware DragonForce è quarto stato facilmente utilizzando il builder trapelato del ransomware LOCKBIT. La mostra consecutivo fiera i risultati BinDiff.
Rappresentazione 6 – Osservazione BinDiff
Al occasione dell'attuazione, il ransomware termina i seguenti processi per di più allocare le risorse intorno a metodo per di più una crittografia diversi rapida.
| predizione | tbirdconfig | powerpt |
| ocssd | mydesktopqos | |
| dbsnmp | ocomm | il pipistrello |
| synctime | dbeng50 | rombo |
| agntsvc | sqbcoreservice | visio |
| isqlplussvc | sopravanzare | winword |
| xfssvccon | infopath | lunario |
| mydesktopservice | msaccess | bloc agenda |
| ocautoupds | mspub | calc |
| encsvc | una citazione | wuauclt |
| Firefox | quadro | una manuale |
Il ransomware interrompe ancora i seguenti bagno.
| memta | sophos | GxVss | GxCVD |
| mepoc | veeam | GxBlr | GxCIMgr |
| msexchange | backup | GxFWD | NegoExtender |
Oltre la crittografia, il file rotaie del ransomware rinomina i file utilizzando una legaccio seguita a motivo di “.AoVOpni2N” poiché denotazione. La mostra consecutivo fiera i file crittografati.
Rappresentazione 7 – File crittografati
Dunque, rilascia una istanza intorno a denominata “AoVOpni2N.README.txt” per mezzo di tutti directory analizza. La mostra consecutivo fiera la istanza intorno a .
Rappresentazione 8 – Ricerca intorno a
È verosimile ritenere un'ricerca completa intorno a LOCKBIT 3.0 .
Compimento
La scoprimento del ransomware DragonForce e dei familiari collegamenti il architetto trapelato del ransomware LOCKBIT Black sottolinea la pericolo rappresentata dall'illegalità intorno a strumenti intorno a intorno a malware trapelati negli attacchi informatici. L’accessibilità intorno a tali strumenti consente agli AT intorno a personalizzare e impartire scioltamente i payload del ransomware, amplificando il prospettiva dei rischi per di più le organizzazioni a qualità generale. L’comparire del ransomware DragonForce, gamma al corrispondente impiego intorno a tattiche intorno a dobla , evidenzia le tattiche per mezzo di trasformazione impiegate dagli autori del ransomware per di più massimizzare il collisione e il utile economico.
I nostri consigli
Abbiamo elencato alcune best practice essenziali per di più la baldanza informatica creano la una volta fila intorno a dominio in modo contrario aggressori. Raccomandiamo ai nostri lettori intorno a rincorrere le migliori pratiche indicate intorno a filza:
Misure intorno a baldanza necessarie per di più combattere attacchi ransomware
- slegare collegamenti e allegati e-mail attendibili senza discriminazione una volta verificarne l'.
- Conduci pratiche intorno a backup regolari e mantieni tali backup offline ovvero per mezzo di una agguato separata.
- Attiva la comodità intorno a appendice del software sul tuo elaboratore elettronico, cellulare e altri dispositivi connessi ove verosimile e pragmatico.
- Utilizza un involto software antivirus e intorno a baldanza Internet famoso sui tuoi dispositivi connessi, inclusi PC, laptop e dispositivi mobili.
A lei utenti dovrebbero le seguenti misure conseguentemente un presa ransomware
- i dispositivi infetti dalla agguato compromessa.
- Staccare i dispositivi intorno a archiviazione esterni collegati.
- Ispeziona i loch intorno a metodo per di più provare la esistenza intorno a eventi sospetti.
Urto del ransomware
- Morte intorno a dati preziosi.
- Morte della nome e dell'incorruttibilità dell'associazione.
- Morte delle informazioni aziendali sensibili dell'associazione.
- Break del funzionamento dell'associazione.
- Morte .
Tecniche MITRE ATT&CK®
| Procedimento | Metodo | Procedimento |
| T1204.002 ( ) | File deleterio. | |
| della salvaguardia | T1562.001 (Zanne compromesse: disabilita ovvero modificazione strumenti) | Il ransomware disabilita Windows Defender. |
| della salvaguardia | T1070.004 (Spostamento indicatore: Esclusione file) | Il ransomware si cancella conseguentemente l'attuazione. |
| Perlustrazione | T1083 (Rilievo intorno a file e directory) | Il ransomware enumera le cartelle per di più la crittografia e l'uccisione dei file. |
| Urto | T1486 (Dati crittografati per di più l'collisione) | Il ransomware crittografa i dati a mira intorno a . |
Indicatori intorno a rimedio (IOC)
| Indicatori | Specchio intorno a indicatore | Narrazione |
| d54bae930b038950c2947f5397c13f84 e164bbaf848fa5d46fa42f62402a1c55330ef562 1250ba6f25fd60077f698a2617c15f89d58c1867339bfd9ee8ab19ce9943304b |
MD5 SHA1 SHA256 |
Ransomware DragonForce |
Norma YARA
rule DragonForce{
scopo:
author = "Cyble Research and Intelligence Labs"
description = "Detects DragonForce Ransomware Memory Strings"
date = "2024-04-24"
os = "Windows"
strings:
$a1 = ".onion" nocase ascii wide
$a2 = "Client settore" nocase ascii wide
$a3 = "shadowcopy" nocase ascii wide
$a4 = "DO NOT DELETE readme" nocase ascii wide
$a5 = "encrypted with a strong algorithm" nocase ascii wide
condition:
all of them
} Riferimenti
Imparentato
