DragonForce Ransomware

Publicado hace 3 meses 21-05-2024

DragonForce es un grupo de Ransomware-as-a-service (RaaS) detectado por primera vez en noviembre de 2023. Utiliza tácticas de doble extorsión, exfiltrando datos antes de encriptarlos y amenazando con publicarlos si no se paga el rescate. DragonForce se basa en un builder de ransomware filtrado de LockBit Black, lo que les permite personalizar sus cargas maliciosas según sus necesidades [1] [5]. Este grupo ha atacado a más de 56 víctimas en todo el mundo, incluyendo diversas industrias como la salud, el gobierno y servicios financieros. Mayo de 2024 está siendo el mes más activo para este grupo de ransomware, pues suman 11 víctimas en una semana (del 13 al 20 de mayo).

Figure 1 DragonForce Leak Site
Figura 1. Sitio Dark Web de DragonForce.

Los vectores de ataque iniciales de DragonForce incluyen correos electrónicos de phishing y la explotación de vulnerabilidades conocidas. Utilizan correos electrónicos de phishing para engañar a los empleados y hacer que descarguen archivos maliciosos o hagan clic en enlaces que instalan malware. Además, explotan vulnerabilidades críticas en software no actualizado para obtener acceso inicial a las redes de las víctimas [1].

Una vez dentro del sistema de las víctimas, DragonForce realiza varias acciones antes de proceder con el cifrado. Realizan un reconocimiento exhaustivo para identificar y mapear recursos críticos y datos valiosos. Utilizan herramientas como Mimikatz para extraer credenciales y escalar privilegios, permitiendo un mayor control sobre el sistema comprometido. Además, emplean técnicas de evasión como la desactivación de soluciones antivirus y de detección de intrusiones. Durante esta fase, también pueden exfiltrar datos sensibles para usarlos como presión adicional sobre las víctimas [1] [2] [3].

DragonForce encripta los datos de las víctimas utilizando un proceso rápido y eficiente. Los archivos cifrados cambian de extensión a una cadena aleatoria seguida de la extensión ".AoVOpni2N" [1] [3]. El ransomware termina varios procesos y servicios críticos para liberar recursos del sistema y evitar detección, lo que facilita un cifrado más rápido y efectivo. Entre estos procesos y servicios, se encuentran los siguientes.
Procesos:
 

oracle  tbirdconfig  powerpnt 
ocssd  mydesktopqos  steam 
dbsnmp  ocomm  thebat 
synctime  dbeng50  thunderbird 
agntsvc  sqbcoreservice  visio 
isqlplussvc  excel  winword 
xfssvccon  infopath  wordpad 
mydesktopservice  msaccess  notepad 
ocautoupds  mspub  calc 
encsvc  onenote  wuauclt 
firefox  outlook  onedrive 

Servicios:
 
memtas  sophos  GxVss  GxCVD 
mepocs  veeam  GxBlr  GxCIMgr 
msexchange  backup  GxFWD  NegoExtender 

Figure 7 Encrypted Files
Figura 2. Archivos encriptados por el ransomware DragonForce.

Después de encriptar los datos, DragonForce deja una nota de rescate llamada “AoVOpni2N.README.txt” en varios directorios del sistema afectado, instruyendo a las víctimas sobre cómo pagar el rescate. Amenazan con divulgar los datos exfiltrados si no se cumple con sus demandas. La nota de rescate menciona que el sitio de la Dark Web es el canal principal para la comunicación y negociación del pago [1].

Figure 8 Ransom Note
Figura 3. Nota de rescate del ransomware DragonForce.

Taxonomía de Ataque de MITRE ATT&CK
 
Táctica  Técnica  ID 
Execution User Execution T1204.002
Defense Evasion Impair Defenses: Disable or Modify Tools T1562.001
Defense Evasion Inidicator Removal: File Deletion T1070.004
Discovery File and Directory Discovery T1083
Impact Data Encrypted for Impact T1486

 

Recomendaciones

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024)
  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
  • Limitar estrictamente el uso de los protocolos SMB y RDP.
  • Realizar auditorías de seguridad. (NIST CSF, 2024)
  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
  • Tener filtros de correo electrónico y spam.
  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
  • Realizar copias de seguridad, respaldos o back-ups constantemente.
  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
  • Revisar continuamente los privilegios de los usuarios.
  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
  • Habilitar la autenticación multifactor.

Indicadores de compromiso
 
Tipo Indicador de Compromiso
SHA256 1250ba6f25fd60077f698a2617c15f89d58c1867339bfd9ee8ab19ce9943304b 
SHA1 e164bbaf848fa5d46fa42f62402a1c55330ef562 
MD5 d54bae930b038950c2947f5397c13f84
Dominio http://z3wqggtxft7id3ibr7srivv5gjof5fwg76slewnzwwakjuf3nlhukdid[.]onion/

Referencias

  1. Cyble Blog. (2024, abril 24). LOCKBIT Black’s Legacy: Unraveling the DragonForce Ransomware Connection. Cyble. Recuperado el 20 de mayo de 2024 en: https://cyble.com/blog/lockbit-blacks-legacy-unraveling-the-dragonforce-ransomware-connection/
  2. Broadcom (2024, abril 29). New DragonForce Ransomware variant. Broadcom. Recuperado el 20 de mayo de 2024 en: https://www.broadcom.com/support/security-center/protection-bulletin/new-dragonforce-ransomware-variant
  3. Mphasis. (2024, mayo 1). New DragonForce Ransomware Emerged from the Leaked LOCKBIT Builder. Mphasis. Recuperado el 20 de mayo de 2024 en: https://www.mphasis.com/content/dam/mphasis-com/global/en/home/services/cybersecurity/new-dragonforce-ransomware-may1-15-12.pdf
  4. Pireault, K. (2024, abril 25). DragonForce Ransomware Group Uses LockBit’s Leaked Builder. InfoSecurity-Magazine. Recuperado el 20 de mayo de 2024 en: https://www.infosecurity-magazine.com/news/dragonforce-ransomware-lockbit/
  5. Cluley, G. (2024, abril 11). DragonForce Ransomware – What You Need To Know. Tripwire. Recuperado el 20 de mayo de 2024 en: https://www.tripwire.com/state-of-security/dragonforce-ransomware-what-you-need-know
  6. NIST CFS. (2024, febrero 26). NIST Releases Version 2.0 of Landmark Cybersecurity Framework. NIST. Recuperado el 20 de mayo de 2024 en: https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidades en VMware (CVE-2024-38812 Critica 9.8, CVE-2024-38813 Alta 7.5)
Publicado hace 1 hora 19-09-2024

Broadcom ha publicado el pasado 17 de septiembre un aviso de seguridad en el que se mencionan 2 vulnerabilidades que afectan a su software de virtualización VMware. Específicamente, las vulnerabilidades son:  CVE-2024-38812, con un puntaje CVSS de 9.8, se cl......

Incidente de Seguridad Fortinet
Publicado hace 6 días 12-09-2024

Fortinet, uno de los principales actores en el sector de la ciberseguridad, ha confirmado una violación de datos tras la afirmación de un atacante de haber sustraído archivos del servidor Microsoft SharePoint de la compañía. Como una de las emp......

Vulnerabilidades Criticas en Productos Microsoft CVE-2024-38220, CVE-2024-43491
Publicado hace 1 semana 12-09-2024

Microsoft, al igual que otros fabricantes, calendariza sus noticias sobre seguridad cada segundo martes de cada mes, lo cual llaman "Patch Tuesday". En este mes de septiembre de 2024, publicó en su página de Security Update Guide su aviso sobre ciberseguri......

BOLETINES RECIENTES

...
Vulnerabilidades en VMware (CVE-2024-38812 Critica 9.8, CVE-2024-38813 Alta 7.5)
Publicado hace 1 hora 19-09-2024
Leer más
...
Incidente de Seguridad Fortinet
Publicado hace 6 días 12-09-2024
Leer más
...
Vulnerabilidades Criticas en Productos Microsoft CVE-2024-38220, CVE-2024-43491
Publicado hace 1 semana 12-09-2024
Leer más