DragonForce 的起源可以追溯到 2023 年 8 月的马来西亚,最初是一个亲巴勒斯坦的黑客行动组织。但正如 SentinelOne指出的那样:“随着时间的推移,他们的目标发生了变化和扩大……他们目前的行动重点是经济利益和勒索。”
该组织目前采用多重勒索模式,威胁受害者通过公共“RansomBay”泄密网站泄露数据并损害其声誉。
DragonForce 的攻击范围涵盖政府、商业以及具有政治象征意义的目标。过去的受害者包括:
- 檀香山OTS
- 帕劳政府
- 可口可乐新加坡
- 俄亥俄州彩票
- 养乐多澳大利亚
众所周知,他们主要针对律师事务所和医疗机构,最近又将攻击活动扩大到以色列、印度、沙特阿拉伯,尤其是英国的零售商。
SentinelOne 表示,英国袭击事件的某些组成部分可能与“The Com”威胁行为者集体有关,但该公司强调,这种归属尚无定论。
DragonForce 通常使用多种技术来进入系统:
- 网络钓鱼电子邮件
- 针对 RDP 服务的凭证填充
- 利用已知漏洞,包括:
- CVE-2021-44228(Log4Shell)
- CVE-2023-46805、CVE-2024-21887、CVE-2024-21893(Ivanti Connect 安全)
- CVE-2024-21412(Windows SmartScreen 绕过)
一旦进入,攻击者就会利用 Cobalt Strike、mimikatz、SystemBC 和 PingCastle 等工具来提升权限并确保持久性。
DragonForce勒索软件最初是 LockBit 3.0/Black 的克隆版本,但后来不断演变。如今,该恶意软件是基于 Conti v3 代码库定制的,使用了 AES 加密算法,并且越来越多地使用 ChaCha8 加密算法。
会员可以通过基于 Web 的面板自定义有效载荷,修改:
- 文件扩展名和名称
- 执行延迟
- 加密范围和模式
- 忽略的文件/虚拟机
- 活动行为
SentinelOne 解释说:“目前,DragonForce 的附属机构可以构建 DragonForce 勒索软件的多种变体,以针对特定平台(包括 Windows、Linux、EXSi 和 NAS 专用加密器)进行定制。”
或许最令人担忧的进展是 DragonForce 已蜕变为一个成熟的“勒索软件即服务”集团。2025 年,该团伙推出了 RansomBay,一个泄密网站,其关联方可以发布被盗数据。DragonForce 声称将从勒索软件支付成功的款项中抽取 20% 的分成,而关联方则可获得 80% 的分成。
这项白标服务允许关联公司以独特的名称发起攻击,从而掩盖 DragonForce 的直接参与。这与 RansomHub 和 Dispossessor 的策略类似,表明 DragonForce 意图成为勒索软件地下经济的领军企业。
发表评论
您还未登录,请先登录。
登录