Le Parrain du Ransomware ? À l’intérieur des ambitions du cartel de DragonForce

Résumé

DragonForce est une opération de ransomware en tant que service à évolution rapide qui pratique la double extorsion en cryptant les systèmes tout en volant des données sensibles. Il commercialise une plateforme d’affiliation flexible prenant en charge les cibles Windows, Linux, ESXi, BSD et NAS, et a récemment opté pour une approche de « cartel » permettant aux partenaires d’opérer sous leur propre marque. La victimologie signalée s’étend à la fabrication, la construction et la technologie dans plusieurs pays, avec des services complémentaires comme des « audits de données » conçus pour augmenter la pression de négociation.

Enquête

Les analystes de Cybereason ont examiné l’échantillon de ransomware, noté un mutex lié à Conti et observé un balayage SMB, la suppression des copies de l’ombre via wmic.exe, et des options spécifiques pour le cryptage ESXi. L’infrastructure de support comprenait plusieurs adresses IP et un site onion de fuite désormais obsolète utilisé pour publier des données volées. Le rapport met également en lumière les relations et signaux de coopération impliquant LockBit, Qilin et d’autres acteurs de ransomware.

Atténuation

Activez la protection des endpoints en couches comprenant des contrôles anti-malware, anti-ransomware, des protections de copies de l’ombre et des contrôles d’application. Maintenez les systèmes à jour avec les correctifs, exigez l’authentification multi-facteurs et conservez des sauvegardes régulières hors ligne avec des restaurations testées. Surveillez les balayages SMB, la suppression des copies de l’ombre déclenchée par wmic.exe et le mutex référencé comme des télémétries d’alerte précoce.

Réponse

Si une activité de ransomware est détectée, isolez les hôtes impactés, capturez les preuves volatiles et activez les playbooks de réponse aux incidents. Restaurez à partir de sauvegardes propres vérifiées, impliquez les forces de l’ordre si nécessaire, et recherchez les accès d’affiliés dans tout l’environnement. Bloquez les IPs/domaines d’infrastructure connus et évaluez le vol de données pour informer les actions de confinement, les notifications et la récupération.

Exécution de simulation

Prérequis : Le contrôle pré-vol de télémétrie et de base doit être validé.

Rationale : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Les exemples abstraits ou non liés conduiront à un mauvais diagnostic.

• Récit d’attaque et commandes :
  L’attaquant crée d’abord un document de test (secret.txt) contenant des données fictives. En utilisant les classes de cryptographie .NET de PowerShell, le fichier est crypté avec AES‑256, ce qui déclenche une activité d’écriture que le système journalise sous l’événement 4663 avec un AccessMask de 0x2 (lecture-métadonnées) et une suppression ultérieure du texte en clair original – les deux actions produisent le même ID d’événement.
  Pour dissimuler l’activité, l’attaquant redéfinit l’emplacement du fichier journal de sécurité Windows sur un chemin non standard (C:TempSecLog.evtx) en utilisant wevtutil, ce qui génère un autre événement 4663 pour le changement de clé de registre. Ces étapes imitent le comportement signalé de DragonForce consistant à crypter les fichiers tout en déplaçant ses propres journaux pour surveiller les progrès.

• Script de test de régression:

  # -------------------------------------------------
  # Simulation de ransomware DragonForce – PowerShell
  # -------------------------------------------------
  
  # 1. Préparer l'artéfact de test
  $plainPath = "$env:TEMPsecret.txt"
  "Données sensibles devant être cryptées" | Set-Content -Path $plainPath -Encoding UTF8
  
  # 2. Crypter le fichier (AES‑256, CBC)
  $key = (1..32 | ForEach-Object { Get-Random -Maximum 256 })
  $iv  = (1..16 | ForEach-Object { Get-Random -Maximum 256 })
  $aes = [System.Security.Cryptography.Aes]::Create()
  $aes.Key = $key
  $aes.IV  = $iv
  $aes.Mode = [System.Security.Cryptography.CipherMode]::CBC
  
  $encryptedPath = "$env:TEMPsecret.txt.enc"
  $fsIn  = [System.IO.File]::OpenRead($plainPath)
  $fsOut = [System.IO.File]::Create($encryptedPath)
  $crypto = $aes.CreateEncryptor()
  $cs = New-Object System.Security.Cryptography.CryptoStream($fsOut, $crypto, [System.Security.Cryptography.CryptoStreamMode]::Write)
  $buffer = New-Object byte[] 1048576   # 1 MiB buffer
  while (($read = $fsIn.Read($buffer,0,$buffer.Length)) -gt 0) {
      $cs.Write($buffer,0,$read)
  }
  $cs.FlushFinalBlock()
  $cs.Dispose()
  $fsIn.Dispose()
  $fsOut.Dispose()
  
  # 3. Supprimer le texte en clair d'origine (déclencher l'événement de suppression)
  Remove-Item -Path $plainPath -Force
  
  # 4. Redéfinir l'emplacement du journal des événements de sécurité (redéfinition du fichier journal)
  $newLog = "C:TempSecLog.evtx"
  wevtutil sl Security /lfn:$newLog
  
  Write-Host "Simulation terminée – fichier crypté créé à $encryptedPath et chemin de journal modifié à $newLog"

• Commandes de nettoyage :

  # -------------------------------------------------
  # Nettoyage – restauration de l'état d'origine
  # -------------------------------------------------
  
  # Restaurer l'emplacement d'origine du journal de sécurité (par défaut)
  wevtutil sl Security /lfn:"%SystemRoot%System32winevtLogsSecurity.evtx"
  
  # Supprimer l'artéfact crypté
  $encPath = "$env:TEMPsecret.txt.enc"
  if (Test-Path $encPath) { Remove-Item $encPath -Force }
  
  # Supprimer le fichier journal temporaire s'il existe
  $tempLog = "C:TempSecLog.evtx"
  if (Test-Path $tempLog) { Remove-Item $tempLog -Force }
  
  Write-Host "Nettoyage terminé."