O Padrinho do Ransomware? Dentro das Ambições de Cartel da DragonForce

Resumo

DragonForce é uma operação de ransomware como serviço que se move rapidamente e pratica extorsão dupla ao criptografar sistemas enquanto rouba dados sensíveis. Ele comercializa uma plataforma afiliada flexível que suporta alvos em Windows, Linux, ESXi, BSD e NAS, e recentemente mudou para uma abordagem de “cartel” que permite que parceiros operem sob sua própria marca. A vitimologia relatada abrange manufatura, construção e tecnologia em vários países, com serviços adicionais como “auditorias de dados” projetados para aumentar a pressão nas negociações.

Investigação

Analistas da Cybereason revisaram a amostra de ransomware, observaram um mutex ligado ao Conti e detectaram varredura SMB, remoção de cópias-sombra usando wmic.exe e opções personalizadas para criptografia ESXi. A infraestrutura de suporte incluía vários endereços IP e um site onion agora extinto usado para publicar dados roubados. O relatório também destaca relações e sinais de cooperação envolvendo LockBit, Qilin e outros atores de ransomware.

Mitigação

Habilite proteção em camadas nos endpoints, incluindo controles anti-malware, anti-ransomware, salvaguardas de cópias-sombra e controle de aplicativos. Mantenha sistemas atualizados, exija autenticação multifator e mantenha backups regulares offline com restaurações testadas. Monitore para varredura SMB, deleção de cópias-sombra via wmic.exe e o mutex mencionado como telemetria de aviso antecipado.

Resposta

Se detectada atividade de ransomware, isole hosts impactados, capture evidências voláteis e ative playbooks de resposta a incidentes. Restaure de backups limpos verificados, envolva a aplicação da lei conforme apropriado e busque por pontos de apoio de afiliados em todo o ambiente. Bloqueie IPs/domínios de infraestrutura conhecidos e verifique por roubo de dados para informar ações de contenção, notificações e recuperação.

Execução de Simulação

Pré-requisito: O Check de Pré-vôo de Telemetria & Linha de Base deve ter sido aprovado.

Racionalização: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.

• Narrativa do Ataque & Comandos:
  O atacante primeiro cria um documento de teste (secret.txt) contendo dados fictícios. Usando classes de criptografia .NET do PowerShell, o arquivo é criptografado com AES-256, o que causa uma operação de gravação que o sistema registra como Evento 4663 com um AccessMask de 0x2 (leitura-metadata) e uma subsequente exclusão do texto original – ambas as ações geram o mesmo ID de evento.
  Para ocultar a atividade, o atacante redefine a localização do arquivo de log de Segurança do Windows para um caminho não padrão (C:TempSecLog.evtx) usando wevtutil, que gera outro evento 4663 para a mudança de chave do registro. Esses passos emulam o comportamento relatado do DragonForce de criptografar arquivos enquanto reloca seus próprios logs para monitorar o progresso.

• Script de Teste de Regressão:

  # -------------------------------------------------
  # Simulação de Ransomware DragonForce – PowerShell
  # -------------------------------------------------
  
  # 1. Preparar artefato de teste
  $plainPath = "$env:TEMPsecret.txt"
  "Dados sensíveis que devem ser criptografados" | Set-Content -Path $plainPath -Encoding UTF8
  
  # 2. Criptografar o arquivo (AES-256, CBC)
  $key = (1..32 | ForEach-Object { Get-Random -Maximum 256 })
  $iv  = (1..16 | ForEach-Object { Get-Random -Maximum 256 })
  $aes = [System.Security.Cryptography.Aes]::Create()
  $aes.Key = $key
  $aes.IV  = $iv
  $aes.Mode = [System.Security.Cryptography.CipherMode]::CBC
  
  $encryptedPath = "$env:TEMPsecret.txt.enc"
  $fsIn  = [System.IO.File]::OpenRead($plainPath)
  $fsOut = [System.IO.File]::Create($encryptedPath)
  $crypto = $aes.CreateEncryptor()
  $cs = New-Object System.Security.Cryptography.CryptoStream($fsOut, $crypto, [System.Security.Cryptography.CryptoStreamMode]::Write)
  $buffer = New-Object byte[] 1048576   # 1 MiB buffer
  while (($read = $fsIn.Read($buffer,0,$buffer.Length)) -gt 0) {
      $cs.Write($buffer,0,$read)
  }
  $cs.FlushFinalBlock()
  $cs.Dispose()
  $fsIn.Dispose()
  $fsOut.Dispose()
  
  # 3. Remover texto original (acionar evento de exclusão)
  Remove-Item -Path $plainPath -Force
  
  # 4. Redefinir local de Log de Evento de Segurança (redefinição de arquivo de log)
  $newLog = "C:TempSecLog.evtx"
  wevtutil sl Security /lfn:$newLog
  
  Write-Host "Simulação concluída – arquivo criptografado criado em $encryptedPath e caminho de log alterado para $newLog"

• Comandos de limpeza:

  # -------------------------------------------------
  # Limpeza – restaurar estado original
  # -------------------------------------------------
  
  # Restaurar localização original do log de Segurança (padrão)
  wevtutil sl Security /lfn:"%SystemRoot%System32winevtLogsSecurity.evtx"
  
  # Excluir artefato criptografado
  $encPath = "$env:TEMPsecret.txt.enc"
  if (Test-Path $encPath) { Remove-Item $encPath -Force }
  
  # Remover arquivo de log temporário se existir
  $tempLog = "C:TempSecLog.evtx"
  if (Test-Path $tempLog) { Remove-Item $tempLog -Force }
  
  Write-Host "Limpeza concluída."