Хрещений батько вимагача? Всередині амбіцій картелю DragonForce

Резюме

DragonForce — це швидка операція з програмним забезпеченням викупу як послуга, яка практикує подвійну експлуатацію шляхом шифрування систем і крадіжки конфіденційних даних. Вона пропонує гнучку афіліатну платформу, яка підтримує цілі Windows, Linux, ESXi, BSD і NAS, і нещодавно перейшла до підходу «картель», що дозволяє партнерам діяти під власним брендом. Звіти про жертви охоплюють виробництво, будівництво та технології в декількох країнах з додатковими послугами, такими як «аудити даних», що призначені для збільшення тиску на переговори.

Розслідування

Аналітики Cybereason переглянули зразок програмного забезпечення з викупом, відзначили мутекс, пов’язаний з Conti, і спостерігали сканування SMB, видалення тіньових копій за допомогою wmic.exe та спеціально налаштовані параметри для шифрування ESXi. Підтримуюча інфраструктура включала кілька IP-адрес і вже недіючий цибулеподібний сайт витоку, використаний для публікації викрадених даних. У звіті також підкреслено стосунки та сигнали співпраці, що залучають LockBit, Qilin та інших акторів програмного забезпечення з викупом.

Пом’якшення

Увімкніть багатошаровий захист кінцевих точок, включаючи засоби проти шкідливого програмного забезпечення, контролі проти програмного забезпечення з викупом, засоби захисту тіньових копій та контроль додатків. Постійно оновлюйте системи, вимагайте багатофакторну автентифікацію та регулярно виконуйте офлайн-резервування з перевіреними відновленнями. Слідкуйте за скануванням SMB, видаленням тіньових копій за допомогою wmic.exe та згаданим мутексом як ранньою телеметрією попередження.

Відповідь

Якщо виявлено активність програмного забезпечення з викупом, ізолюйте уражені хости, захопіть леткі докази й активуйте playbooks реагування на інциденти. Відновіть з перевірених чистих резервних копій, за необхідності залучіть правоохоронні органи та шукайте афіліатні укріплення в усьому середовищі. Блокуйте відомі IP-адреси/доменами інфраструктури та оцінюйте крадіжку даних, щоб інформувати про заходи стримування, повідомлення та відновлення.

Виконання симуляції

Передумова: перевірка телеметрії та базового рівня повинна бути пройдена.

Обґрунтування: цей розділ детально описує точне виконання техніки супротивника (TTP), призначеної для активізації правила виявлення. Вказівки та розповідь ПОВИННІ прямо відображати виявлені TTP і прагнути згенерувати саме ту телеметрію, яку очікується виявити за допомогою логіки детекції. Абстрактні або несумісні приклади призведуть до помилкової діагностики.

• Оповідання та команди атак:
  Атакуючий спочатку створює тестовий документ (secret.txt) з фіктивними даними. Використовуючи класи криптографії .NET у PowerShell, файл шифрується за допомогою AES-256, що викликає операцію запису, яку система реєструє як подію 4663 із AccessMask 0x2 (читання метаданих) і подальше видалення вихідного звичайного тексту – обидві дії генерують ту саму подію.
  Щоб приховати діяльність, атакуючий переносить місце зберігання журналу безпеки Windows до нестандартного шляху (C:TempSecLog.evtx) за допомогою wevtutil, що генерує ще одну подію 4663 для зміни ключа реєстру. Ці кроки імітують документовану поведінку DragonForce зі шифрування файлів, одночасно переносячи власні журнали для контролю прогресу.

• Сценарій регресійного тестування:

  # -------------------------------------------------
  # Симуляція програмного забезпечення з викупом DragonForce – PowerShell
  # -------------------------------------------------
  
  # 1. Підготуйте тестовий артефакт
  $plainPath = "$env:TEMPsecret.txt"
  "Конфіденційні дані, що повинні бути зашифровані" | Set-Content -Path $plainPath -Encoding UTF8
  
  # 2. Зашифруйте файл (AES-256, CBC)
  $key = (1..32 | ForEach-Object { Get-Random -Maximum 256 })
  $iv  = (1..16 | ForEach-Object { Get-Random -Maximum 256 })
  $aes = [System.Security.Cryptography.Aes]::Create()
  $aes.Key = $key
  $aes.IV  = $iv
  $aes.Mode = [System.Security.Cryptography.CipherMode]::CBC
  
  $encryptedPath = "$env:TEMPsecret.txt.enc"
  $fsIn  = [System.IO.File]::OpenRead($plainPath)
  $fsOut = [System.IO.File]::Create($encryptedPath)
  $crypto = $aes.CreateEncryptor()
  $cs = New-Object System.Security.Cryptography.CryptoStream($fsOut, $crypto, [System.Security.Cryptography.CryptoStreamMode]::Write)
  $buffer = New-Object byte[] 1048576   # 1 MiB buffer
  while (($read = $fsIn.Read($buffer,0,$buffer.Length)) -gt 0) {
      $cs.Write($buffer,0,$read)
  }
  $cs.FlushFinalBlock()
  $cs.Dispose()
  $fsIn.Dispose()
  $fsOut.Dispose()
  
  # 3. Видалить оригінальний відкритий текст (виклик видалення події)
  Remove-Item -Path $plainPath -Force
  
  # 4. Перенесення місця розташування журналу подій безпеки (переналаштування журналу)
  $newLog = "C:TempSecLog.evtx"
  wevtutil sl Security /lfn:$newLog
  
  Write-Host "Симуляція завершена – зашифрований файл створено у $encryptedPath і шлях журналу змінено на $newLog"

• Команди очищення:

  # -------------------------------------------------
  # Очистка – відновлення початкового стану
  # -------------------------------------------------
  
  # Відновлення початкового місця розташування журналу безпеки (за замовчуванням)
  wevtutil sl Security /lfn:"%SystemRoot%System32winevtLogsSecurity.evtx"
  
  # Видалити зашифрований артефакт
  $encPath = "$env:TEMPsecret.txt.enc"
  if (Test-Path $encPath) { Remove-Item $encPath -Force }
  
  # Видалити тимчасовий файл журналу, якщо він існує
  $tempLog = "C:TempSecLog.evtx"
  if (Test-Path $tempLog) { Remove-Item $tempLog -Force }
  
  Write-Host "Очистка завершена."