DragonForce 勒索软件集团利用定制负载和全球勒索活动攻击英国零售商

阅读量6388

发布时间 : 2025-05-06 14:34:45

x
译文声明

本文是翻译文章,文章原作者 Ddos,文章来源:securityonline

原文地址:https://securityonline.info/dragonforce-ransomware-cartel-hits-uk-retailers-with-custom-payloads-and-global-extortion-campaign/

译文仅供参考,具体内容表达以及含义原文为准。

网络安全公司 SentinelOne 揭露了勒索软件生态系统令人不安的演变,该公司发布了一份对 DragonForce 勒索软件团伙的深入分析报告,该团伙是最近对英国主要零售商(包括哈罗德百货、玛莎百货和合作社)发动协同攻击的威胁行为者。

DragonForce 的起源可以追溯到 2023 年 8 月的马来西亚,最初是一个亲巴勒斯坦的黑客行动组织。但正如 SentinelOne指出的那样:“随着时间的推移,他们的目标发生了变化和扩大……他们目前的行动重点是经济利益和勒索。”

该组织目前采用多重勒索模式,威胁受害者通过公共“RansomBay”泄密网站泄露数据并损害其声誉。

 

 

DragonForce 的攻击范围涵盖政府、商业以及具有政治象征意义的目标。过去的受害者包括:

  • 檀香山OTS
  • 帕劳政府
  • 可口可乐新加坡
  • 俄亥俄州彩票
  • 养乐多澳大利亚

众所周知,他们主要针对律师事务所和医疗机构,最近又将攻击活动扩大到以色列、印度、沙特阿拉伯,尤其是英国的零售商。

SentinelOne 表示,英国袭击事件的某些组成部分可能与“The Com”威胁行为者集体有关,但该公司强调,这种归属尚无定论。

DragonForce 通常使用多种技术来进入系统:

 

 

  • 网络钓鱼电子邮件
  • 针对 RDP 服务的凭证填充
  • 利用已知漏洞,包括:
    • CVE-2021-44228(Log4Shell)
    • CVE-2023-46805、CVE-2024-21887、CVE-2024-21893(Ivanti Connect 安全)
    • CVE-2024-21412(Windows SmartScreen 绕过)

一旦进入,攻击者就会利用 Cobalt Strike、mimikatz、SystemBC 和 PingCastle 等工具来提升权限并确保持久性。

DragonForce勒索软件最初是 LockBit 3.0/Black 的克隆版本,但后来不断演变。如今,该恶意软件是基于 Conti v3 代码库定制的,使用了 AES 加密算法,并且越来越多地使用 ChaCha8 加密算法。

 

 

会员可以通过基于 Web 的面板自定义有效载荷,修改:

  • 文件扩展名和名称
  • 执行延迟
  • 加密范围和模式
  • 忽略的文件/虚拟机
  • 活动行为

SentinelOne 解释说“目前,DragonForce 的附属机构可以构建 DragonForce 勒索软件的多种变体,以针对特定平台(包括 Windows、Linux、EXSi 和 NAS 专用加密器)进行定制。”

或许最令人担忧的进展是 DragonForce 已蜕变为一个成熟的“勒索软件即服务”集团。2025 年,该团伙推出了 RansomBay,一个泄密网站,其关联方可以发布被盗数据。DragonForce 声称将从勒索软件支付成功的款项中抽取 20% 的分成,而关联方则可获得 80% 的分成。

这项白标服务允许关联公司以独特的名称发起攻击,从而掩盖 DragonForce 的直接参与。这与 RansomHub 和 Dispossessor 的策略类似,表明 DragonForce 意图成为勒索软件地下经济的领军企业。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66