Der Pate der Ransomware? Einblick in DragonForces Kartellambitionen

Zusammenfassung

DragonForce ist eine schnell agierende Ransomware-as-a-Service-Operation, die doppelte Erpressung praktiziert, indem sie Systeme verschlüsselt und gleichzeitig sensible Daten stiehlt. Es vermarktet eine flexible Affiliate-Plattform, die Windows-, Linux-, ESXi-, BSD- und NAS-Ziele unterstützt, und hat vor kurzem einen „Kartell“-Ansatz eingeführt, der es Partnern ermöglicht, unter ihrer eigenen Marke zu operieren. Die gemeldete Viktimologie umfasst Fertigung, Bauwesen und Technologie in mehreren Ländern, mit zusätzlichen Dienstleistungen wie „Datenprüfungen“, die den Verhandlungsdruck erhöhen sollen.

Untersuchung

Cybereason-Analysten überprüften das Ransomware-Muster, bemerkten ein mit Conti verbundenes Mutex und beobachteten SMB-Scanning, das Entfernen von Schattenkopien mit wmic.exe und maßgeschneiderte Optionen für die ESXi-Verschlüsselung. Die unterstützende Infrastruktur umfasste mehrere IP-Adressen und eine mittlerweile inaktive Onion-Leak-Site, die zum Veröffentlichen gestohlener Daten verwendet wurde. Der Bericht hebt auch Beziehungen und Kooperationssignale mit LockBit, Qilin und anderen Ransomware-Akteuren hervor.

Minderung

Aktivieren Sie umfassenden Endpunktschutz einschließlich Anti-Malware, Anti-Ransomware-Kontrollen, Schattenkopieschutz und Anwendungssteuerung. Halten Sie Systeme gepatcht, verlangen Sie Multi-Faktor-Authentifizierung und führen Sie regelmäßige Offline-Backups mit getesteten Wiederherstellungen durch. Überwachen Sie auf SMB-Scanning, wmic.exe-gesteuertes Schattenkopien-Löschen und das referenzierte Mutex als Frühwarn-Telemetrie.

Antwort

Wenn Ransomware-Aktivität erkannt wird, isolieren Sie betroffene Hosts, erfassen Sie flüchtige Beweise und aktivieren Sie Incident-Response-Playbooks. Stellen Sie aus verifizierten sauberen Backups wieder her, ziehen Sie gegebenenfalls die Strafverfolgungsbehörden hinzu und suchen Sie nach Affiliate-Einflussnahmen in der gesamten Umgebung. Blockieren Sie bekannte Infrastruktur-IPs/Domains und bestimmen Sie die Datenexfiltration, um Eindämmung, Benachrichtigungen und Wiederherstellungsmaßnahmen zu informieren.

Simulationsausführung

Voraussetzung: Der Telemetrie- & Baseline-Vorflugstest muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der TTP (Technik, Taktik und Verfahren) des Gegners, die dazu gedacht ist, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.

• Angriffserzählung & Befehle:
  Der Angreifer erstellt zunächst ein Testdokument (secret.txt) mit Dummy-Daten. Mithilfe der .NET-Kryptografiklassen von PowerShell wird die Datei mit AES-256 verschlüsselt, was einen Schreibvorgang auslöst, den das System als Ereignis 4663 mit einem AccessMask von 0x2 (Lese-Metadaten) und einem nachfolgenden Löschen des ursprünglichen Klartexts protokolliert — beide Aktionen erzeugen dieselbe Ereignis-ID.
  Um die Aktivität zu verbergen, definiert der Angreifer den Speicherort der Windows-Sicherheitsprotokolldatei auf einen nicht standardmäßigen Pfad um (C:TempSecLog.evtx) mithilfe von wevtutil, was ein weiteres 4663-Ereignis für die Änderung des Registrierungsschlüssels generiert. Diese Schritte emulieren das gemeldete Verhalten von DragonForce, Dateien zu verschlüsseln, während es seine eigenen Protokolle neu positioniert, um den Fortschritt zu überwachen.

• Regressions-Testskript:

  # -------------------------------------------------
  # DragonForce Ransomware-Simulation – PowerShell
  # -------------------------------------------------
  
  # 1. Testartefakt vorbereiten
  $plainPath = "$env:TEMPsecret.txt"
  "Sensible Daten, die verschlüsselt werden müssen" | Set-Content -Path $plainPath -Encoding UTF8
  
  # 2. Verschlüsseln Sie die Datei (AES‑256, CBC)
  $key = (1..32 | ForEach-Object { Get-Random -Maximum 256 })
  $iv  = (1..16 | ForEach-Object { Get-Random -Maximum 256 })
  $aes = [System.Security.Cryptography.Aes]::Create()
  $aes.Key = $key
  $aes.IV  = $iv
  $aes.Mode = [System.Security.Cryptography.CipherMode]::CBC
  
  $encryptedPath = "$env:TEMPsecret.txt.enc"
  $fsIn  = [System.IO.File]::OpenRead($plainPath)
  $fsOut = [System.IO.File]::Create($encryptedPath)
  $crypto = $aes.CreateEncryptor()
  $cs = New-Object System.Security.Cryptography.CryptoStream($fsOut, $crypto, [System.Security.Cryptography.CryptoStreamMode]::Write)
  $buffer = New-Object byte[] 1048576   # 1 MiB Puffer
  while (($read = $fsIn.Read($buffer,0,$buffer.Length)) -gt 0) {
      $cs.Write($buffer,0,$read)
  }
  $cs.FlushFinalBlock()
  $cs.Dispose()
  $fsIn.Dispose()
  $fsOut.Dispose()
  
  # 3. Ursprünglichen Klartext entfernen (Löschereignis auslösen)
  Remove-Item -Path $plainPath -Force
  
  # 4. Speicherort der Sicherheitsprotokolle neu definieren (Protokolldatei-Neudefinition)
  $newLog = "C:TempSecLog.evtx"
  wevtutil sl Security /lfn:$newLog
  
  Write-Host "Simulation abgeschlossen – verschlüsselte Datei unter $encryptedPath erstellt und Protokollpfad in $newLog geändert"

• Clean-up-Befehle:

  # -------------------------------------------------
  # Bereinigung – Originalzustand wiederherstellen
  # -------------------------------------------------
  
  # Ursprünglichen Sicherheitsprotokollspeicherort wiederherstellen (Standard)
  wevtutil sl Security /lfn:"%SystemRoot%System32winevtLogsSecurity.evtx"
  
  # Verschlüsseltes Artefakt löschen
  $encPath = "$env:TEMPsecret.txt.enc"
  if (Test-Path $encPath) { Remove-Item $encPath -Force }
  
  # Temporäre Protokolldatei entfernen, falls vorhanden
  $tempLog = "C:TempSecLog.evtx"
  if (Test-Path $tempLog) { Remove-Item $tempLog -Force }
  
  Write-Host "Bereinigung abgeschlossen."