Ransomware DragonForce (Actualización)
.png?v=1749278626)
El grupo de ransomware DragonForce, conocido desde noviembre de año 2023, recientemente se ha estado volviendo relevante debido a la constante actualización y sofisticación de sus vectores de ataque. Esta amenaza originalmente era conocido por ser una campaña hacktivista, pero rápidamente se detectó su evolución hacia actividades claramente criminales, como el secuestro de datos y la extorsión cibernética.
DragonForce como la mayoría de los ransomwares una vez que infecta los sistemas de las víctimas, cifra todos los archivos importantes dejándolos inaccesibles y encriptados. Luego, estos ciberdelincuentes exigen un rescate a cambio de la clave de descifrado, sin embargo, lo que hace especialmente peligroso a esta amenaza es que combina esta técnica con el doble chantaje, en donde no solo se cifran los archivos, sino que también los roban antes de bloquearlos. Y en caso de que las víctimas se nieguen a pagar el rescate, los ciberdelincuentes amenazan con publicar los datos en su sitio web de filtración, en la dark web o venderlos a terceros.
Sitio web de filtración del ransomware DragonForce [1]
Los vectores de ataque que utiliza esta amenaza han ido evolucionando con el tiempo, pero se ha monitoreado que usa correos electrónicos con phishing y explotación de vulnerabilidades, siendo la ultima la más utilizada y peligrosa para las víctimas. La mayoría de las vulnerabilidades explotadas que se tienen en radar son relacionadas a VPN, herramientas de monitoreo y herramientas de administración remota. El ransomware esta utilizando activamente los siguientes CVE para comprometer a sus víctimas.
- CVE-2021-44228 (Apache Log4j2)
- CVE-2023-46805 (Ivanti ICS y Ivanti Policy Secure)
- CVE-2024-21412 (Microsoft)
- CVE-2024-21887 (Ivanti Connect Secure y Ivanti Policy Secure)
- CVE-2024-21893 (Ivanti Connect Secure, Ivanti Policy Secure, Ivanti Neurons)
- CVE-2024-57727 (SimpleHelp)
- CVE-2024-57728 (SimpleHelp)
- CVE-2024-57726 (SimpleHelp)
Es importante destacar que los CVE-2024-57727, CVE-2024-57728 y CVE-2024-57726 son vulnerabilidades que el grupo está utilizando recientemente desde finales de mayo del 2025. También se ha observado que utilizan credenciales robadas, lo que les permite acceder a redes internas de las victimas sin activar muchas alarmas, y una vez dentro se mueven lateralmente, identifican los activos más valiosos, y solo entonces lanzan el ataque de cifrado. Este enfoque estratégico hace que el impacto sea mucho más destructivo y difícil de detener.
Este grupo se inclina por atacar victimas y empresas del sector inmobiliario, manufactura trasporte y de salud. El constante monitoreo a esta amenaza en crecimiento a detectado que la mayoría de sus victimas se encuentran en Estados Unidos, Reino Unido y Australia.
Taxonomia MITRE ATT&CK:
|
Táctica |
ID de la técnica |
Nombre |
|
Ejecución |
T1059.003 |
Intérprete de comandos y scripting |
|
T1204.002 |
Ejecución de usuario: archivo malicioso |
|
|
Evasión de defensa |
T1070.004 |
Eliminación del indicador |
|
T1070.004 |
Eliminación del archivo |
|
|
T1070.004 |
Indicador de eliminación en el host: eliminación de archivos |
|
|
T1562.001 |
Desactivar o modificar herramientas |
|
|
Descubrimiento |
T1083 |
Detección de archivos y directorios |
|
Impacto |
T1486 |
Datos cifrados para impacto |
Indicadores de Compromiso:
|
IOC |
Tipo |
|
296cca79bbb3ca764de8fcdc2070ecc2 |
MD5 |
|
6C755A742F2B2E5C1820F57D0338365F |
MD5 |
|
770c1dc157226638f8ad1ac9669f4883 |
MD5 |
|
7BDBD180C081FA63CA94F9C22C457376 |
MD5 |
|
8bcd83352bbd52ca7bda998a52dd0e5c |
MD5 |
|
9a218d69ecafe65eae264d2fdb52f1aa |
MD5 |
|
9db8f7378e2df01c842cfcb617e64475 |
MD5 |
|
b97812a2e6be54e725defbab88357fa2 |
MD5 |
|
d44071f255785c73909d64f824331ebf |
MD5 |
|
d54bae930b038950c2947f5397c13f84 |
MD5 |
|
e4a4fc96188310b7b07e7c0525b5c0aa |
MD5 |
|
2915b3f8b703eb744fc54c81f4a9c67f |
MD5 |
|
65a8e27d8879283831b664bd8b7f0ad4 |
MD5 |
|
65d8ba2504cf970adb7ac87a42703e16 |
MD5 |
|
7844c0c39d820d373569bbc1c8dfa8ee |
MD5 |
|
dcc7371a1bb7380221bc0d48b85d99b8 |
MD5 |
|
e7264a4c331eac851fa75438919e0531 |
MD5 |
|
011894f40bab6963133d46a1976fa587a4b66378 |
SHA1 |
|
0b22b6e5269ec241b82450a7e65009685a3010fb |
SHA1 |
|
196c08fbab4119d75afb209a05999ce269ffe3cf |
SHA1 |
|
1f5ae3b51b2dbf9419f4b7d51725a49023abc81c |
SHA1 |
|
229e073dbcbb72bdfee2c244e5d066ad949d2582 |
SHA1 |
|
29baab2551064fa30fb18955ccc8f332bd68ddd4 |
SHA1 |
|
343220b0e37841dc002407860057eb10dbeea94d |
SHA1 |
|
577b110a8bfa6526b21bb728e14bd6494dc67f71 |
SHA1 |
|
7db52047c72529d27a39f2e1a9ffb8f1f0ddc774 |
SHA1 |
|
81185dd73f2e042a947a1bf77f429de08778b6e9 |
SHA1 |
|
a4bdd6cef0ed43a4d08f373edc8e146bb15ca0f9 |
SHA1 |
|
b3e0785dbe60369634ac6a6b5d241849c1f929de |
SHA1 |
|
b571e60a6d2d9ab78da1c14327c0d26f34117daa |
SHA1 |
|
bcfac98117d9a52a3196a7bd041b49d5ff0cfb8c |
SHA1 |
|
c98e394a3e33c616d251d426fc986229ede57b0f |
SHA1 |
|
e164bbaf848fa5d46fa42f62402a1c55330ef562 |
SHA1 |
|
e1c0482b43fe57c93535119d085596cd2d90560a |
SHA1 |
|
eada05f4bfd4876c57c24cd4b41f7a40ea97274c |
SHA1 |
|
f710573c1d18355ecdf3131aa69a6dfe8e674758 |
SHA1 |
|
fc75a3800d8c2fa49b27b632dc9d7fb611b65201 |
SHA1 |
|
0a0a9f2a6772942557ab5355d76af442f8f65e01 |
SHA1 |
|
0c2ba636e8ae1d9559bb3de4ab879d1c7624ab6d |
SHA1 |
|
38f6dc2b0c5e86d38c2a9bd7f5aaf4447be97a61 |
SHA1 |
|
e10361a11f8a7f232ac3cb2125c1875a0a69a3e4 |
SHA1 |
|
ee4fc26e3ec51ce2fc260583cdc94c40b1af3dae |
SHA1 |
|
fc40b6963f59d6fdf3fba174f2db451a1e43725b |
SHA1 |
|
1250ba6f25fd60077f698a2617c15f89d58c1867339bfd9ee8ab19ce9943304b |
SHA256 |
|
188bc243cc42f8ffa4c1ed02aad5a76c9000e3d58104f45fe71af66536a274da |
SHA256 |
|
822ceefb12b030f2ff28dcda6776addda77b041dbb48d2e3a8c305721f4cc8ef |
SHA256 |
|
82b336cd120ef07d8df5a3e3fa082bcca8b5c0a3481fae78cb5dd29072979f69 |
SHA256 |
|
a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91 |
SHA256 |
|
b9bba02d18bacc4bc8d9e4f70657d381568075590cc9d0e7590327d854224b32 |
SHA256 |
|
ba1be94550898eedb10eb73cb5383a2d1050e96ec4df8e0bf680d3e76a9e2429 |
SHA256 |
|
c844d02c91d5e6dc293de80085ad2f69b5c44bc46ec9fdaa4e3efbda062c871c |
SHA256 |
|
d4de7d7990114c51056afeedb827d880549d5761aac6bdef0f14cb17c25103b3 |
SHA256 |
|
d626eb0565fac677fdc13fb0555967dc31e600c74fbbd110b744f8e3a59dd3f9 |
SHA256 |
|
d67a475f72ca65fd1ac5fd3be2f1cce2db78ba074f54dc4c4738d374d0eb19c7 |
SHA256 |
|
07ab218d5c865cb4fe78353340ab923e24a1f2881ec7206520651c5246b1a492 |
SHA256 |
|
330730d65548d621d46ed9db939c434bc54cada516472ebef0a00422a5ed5819 |
SHA256 |
|
62cd46988f179edf8013515c44cbb7563fc216d4e703a2a2a249fe8634617700 |
SHA256 |
|
9479a5dc61284ccc3f063ebb38da9f63400d8b25d8bca8d04b1832f02fac24de |
SHA256 |
|
9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507 |
SHA256 |
|
a4dfa099e1f52256ad4a3b2db961e158832b739126b80677f82b0722b0ea5e59 |
SHA256 |
|
ab7d8832e35bba30df50a7cca7cefd9351be4c5e8961be2d0b27db6cd22fc036 |
SHA256 |
|
dffd6021bb2bd5b0af676290809ec3a53191dd81c7f70a4b28688a362182986f |
SHA256 |
|
feab413f86532812efc606c3b3224b7c7080ae4aa167836d7233c262985f888c |
SHA256 |
|
CVE-2021-44228 |
CVE |
|
CVE-2023-46805 |
CVE |
|
CVE-2024-21412 |
CVE |
|
CVE-2024-21887 |
CVE |
|
CVE-2024-21893 |
CVE |
|
CVE-2024-57727 |
CVE |
|
CVE-2024-57728 |
CVE |
|
CVE-2024-57726 |
CVE |
Recomendaciones
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque.
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Owda, A. (2024, Noviembre 01). Dark Web Profile: DragonForce Ransomware - SOCRadar® Cyber Intelligence Inc. SOCRadar® Cyber Intelligence Inc. Recuperado el 02 de junio de 2025, en: https://socradar.io/dark-web-profile-dragonforce-ransomware/
- Checkpoint. (2025, Mayo 08). DragonForce Ransomware: Redefining Hybrid Extortion in 2025. Check Point Blog. Recuperado el 02 de junio de 2025, en: https://blog.checkpoint.com/security/dragonforce-ransomware-redefining-hybrid-extortion-in-2025/
- Resecurity | DragonForce Ransomware Group is Targeting Saudi Arabia. (2025, Febrero 27). Recuperado el 02 de junio de 2025, en: https://www.resecurity.com/blog/article/dragonforce-ransomware-group-is-targeting-saudi-arabia
- The Hacker News. (2025b, Mayo 29). DragonForce Exploits SimpleHelp Flaws to Deploy Ransomware Across Customer Endpoints. Recuperado el 02 de junio de 2025, en: https://thehackernews.com/2025/05/dragonforce-exploits-simplehelp-flaws.html
- LevelBlue - Open Threat Exchange. (2025c, Mayo 02). LevelBlue Open Threat Exchange. Recuperado el 02 de junio de 2025, en: https://otx.alienvault.com/pulse/6819b2802326d6ec3d93e7bf
.png)
