The Godfather of Ransomware? Inside DragonForce’s Cartel Ambitions

Riepilogo

DragonForce è un’operazione di ransomware-as-a-service rapida che pratica la doppia estorsione crittografando i sistemi mentre ruba dati sensibili. Commercializza una piattaforma affiliata flessibile che supporta obiettivi Windows, Linux, ESXi, BSD e NAS, e recentemente si è orientata verso un approccio a ‘cartello’ che consente ai partner di operare sotto il proprio marchio. La vittimologia riportata si estende a manifattura, costruzioni e tecnologia in diversi paesi, con servizi aggiuntivi come ‘verifiche dei dati’ progettati per aumentare la pressione negoziale.

Indagine

Gli analisti di Cybereason hanno esaminato il campione di ransomware, hanno notato un mutex collegato a Conti e hanno osservato la scansione SMB, la rimozione delle copie shadow usando wmic.exe e opzioni personalizzate per la crittografia ESXi. L’infrastruttura di supporto includeva diversi indirizzi IP e un sito onion leak ora defunto utilizzato per pubblicare i dati rubati. Il rapporto mette in evidenza anche relazioni e segnali di cooperazione che coinvolgono LockBit, Qilin e altri attori ransomware.

Mitigazione

Abilita protezione degli endpoint stratificata includendo controlli anti-malware, anti-ransomware, salvaguardie delle copie shadow e controllo delle applicazioni. Mantieni i sistemi aggiornati, richiedi l’autenticazione multi-fattore e conserva backup offline regolari con recuperi testati. Monitora la scansione SMB, la cancellazione delle copie shadow tramite wmic.exe e il mutex menzionato come telemetria d’avvertimento precoce.

Risposta

Se viene rilevata attività ransomware, isola i host colpiti, cattura prove volatili e attiva i playbook di risposta agli incidenti. Ripristina da backup puliti verificati, coinvolgi le forze dell’ordine se appropriato e cerca presenze degli affiliati nell’ambiente. Blocca IP/domini di infrastrutture note e valuta il furto dei dati per informare contenimento, notifiche e azioni di recupero.

Esecuzione della simulazione

Prerequisito: Il controllo Telemetria & Baseline Pre‑flight deve aver superato.

Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e il narrativo DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a errori di diagnosi.

• Narrativa & Comandi dell’attacco:
  L’attaccante prima crea un documento di test (secret.txt) contenente dati fittizi. Usando le classi di crittografia .NET di PowerShell, il file è criptato con AES-256, che causa un’operazione di scrittura che il sistema registra come Evento 4663 con un AccessMask di 0x2 (lettura-metadata) e una successiva eliminazione del testo originale in chiaro – entrambe le azioni producono lo stesso ID evento.
  Per nascondere l’attività, l’attaccante ridefinisce la posizione del file log di Sicurezza di Windows in un percorso non standard (C:TempSecLog.evtx) usando wevtutil, il che genera un altro evento 4663 per il cambiamento della chiave di registro. Questi passaggi emulano il comportamento riportato di DragonForce di criptare file mentre ricolloca i propri log per monitorare i progressi.

• Script del test di regressione:

  # -------------------------------------------------
  # Simulazione Ransomware DragonForce – PowerShell
  # -------------------------------------------------
  
  # 1. Prepara artefatto di test
  $plainPath = "$env:TEMPsecret.txt"
  "Dati sensibili che devono essere criptati" | Set-Content -Path $plainPath -Encoding UTF8
  
  # 2. Cripta il file (AES‑256, CBC)
  $key = (1..32 | ForEach-Object { Get-Random -Maximum 256 })
  $iv  = (1..16 | ForEach-Object { Get-Random -Maximum 256 })
  $aes = [System.Security.Cryptography.Aes]::Create()
  $aes.Key = $key
  $aes.IV  = $iv
  $aes.Mode = [System.Security.Cryptography.CipherMode]::CBC
  
  $encryptedPath = "$env:TEMPsecret.txt.enc"
  $fsIn  = [System.IO.File]::OpenRead($plainPath)
  $fsOut = [System.IO.File]::Create($encryptedPath)
  $crypto = $aes.CreateEncryptor()
  $cs = New-Object System.Security.Cryptography.CryptoStream($fsOut, $crypto, [System.Security.Cryptography.CryptoStreamMode]::Write)
  $buffer = New-Object byte[] 1048576   # buffer di 1 MiB
  while (($read = $fsIn.Read($buffer,0,$buffer.Length)) -gt 0) {
      $cs.Write($buffer,0,$read)
  }
  $cs.FlushFinalBlock()
  $cs.Dispose()
  $fsIn.Dispose()
  $fsOut.Dispose()
  
  # 3. Rimuovi testo originale in chiaro (attiva evento di eliminazione)
  Remove-Item -Path $plainPath -Force
  
  # 4. Ridefinisci la posizione del Log eventi di Sicurezza (ridefinizione del file log)
  $newLog = "C:TempSecLog.evtx"
  wevtutil sl Security /lfn:$newLog
  
  Write-Host "Simulazione completata – file criptato creato a $encryptedPath e percorso log cambiato a $newLog"

• Comandi di pulizia:

  # -------------------------------------------------
  # Pulizia – ripristina stato originale
  # -------------------------------------------------
  
  # Ripristina la posizione originale del log di Sicurezza (default)
  wevtutil sl Security /lfn:"%SystemRoot%System32winevtLogsSecurity.evtx"
  
  # Elimina artefatto criptato
  $encPath = "$env:TEMPsecret.txt.enc"
  if (Test-Path $encPath) { Remove-Item $encPath -Force }
  
  # Rimuovi file log temporaneo se esiste
  $tempLog = "C:TempSecLog.evtx"
  if (Test-Path $tempLog) { Remove-Item $tempLog -Force }
  
  Write-Host "Pulizia completata."