Adegan ransomware sedang mengatur ulang, dengan satu geng yang dikenal sebagai Dragonforce yang bekerja untuk mengumpulkan operasi lain di bawah struktur seperti kartel.
Dragonforce sekarang memberi insentif pada aktor ransomware dengan model branding afiliasi terdistribusi, menyediakan operasi ransomware-as-a-service (RAAS) lainnya sarana untuk menjalankan bisnis mereka tanpa berurusan dengan biaya dan upaya pemeliharaan infrastruktur.
Perwakilan kelompok mengatakan kepada BleepingComputer bahwa mereka murni termotivasi secara finansial tetapi juga mengikuti kompas moral dan menentang menyerang organisasi perawatan kesehatan tertentu.
Biasanya, operasi RAAS memiliki afiliasi atau mitranya sendiri, dan pengembang ransomware menyediakan malware dan infrastruktur yang terenkripsi file.
Afiliasi akan membangun varian paket enkripsi, melanggar jaringan korban, dan menggunakan ransomware. Mereka juga akan mengelola kunci dekripsi dan biasanya bernegosiasi dengan korban untuk pembayaran tebusan.
Pengembang juga memelihara apa yang disebut Situs Kebocoran Data (DLS) di mana mereka menerbitkan informasi yang dicuri dari para korban yang tidak membayar penyerang.
Sebagai imbalan untuk menggunakan malware dan infrastruktur mereka, pengembang membebankan biaya dari uang tebusan yang diterima yang biasanya hingga 30%.
Bisnis Ransomware Dragonforce
Dragonforce sekarang menyebut dirinya “kartel ransomware” dan mengambil 20% dari tebusan yang dibayar.
Di bawah modelnya, afiliasi mendapatkan akses ke infrastruktur (alat negosiasi, penyimpanan untuk data curian, administrasi malware), dan menggunakan Enkriptor Dragonforce di bawah branding mereka sendiri.
Kelompok ini mengumumkan “arah baru” pada bulan Maret, mengatakan bahwa afiliasi dapat membuat “merek sendiri di bawah naungan mitra yang sudah terbukti.”
Seperti yang dikatakan posting di bawah ini, Dragonforce bertujuan untuk mengelola “merek tanpa batas” yang dapat menargetkan sistem ESXI, NAS, BSD, dan Windows.
sumber: SecureWorks
Dragonforce mengatakan kepada BleepingComputer bahwa struktur mereka adalah dari pasar, di mana afiliasi dapat memilih untuk menggunakan serangan di bawah merek Dragonforce atau yang berbeda.
Pada dasarnya, kelompok aktor ancaman dapat menggunakan layanan dan label putih dengan nama mereka sendiri sehingga tampaknya mereka adalah merek mereka sendiri.
Sebagai imbalannya, mereka tidak harus berurusan dengan sakit kepala menjalankan data kebocoran dan negosiasi, mengembangkan malware, atau berurusan dengan negosiasi.
Namun, ada aturan untuk mematuhi, dan afiliasi akan dikeluarkan pada kesalahan langkah pertama. “Kami adalah mitra jujur yang menghormati aturan,” kata Perwakilan Dragonforce kepada kami.
“Mereka harus mengikuti aturan, dan kami dapat mengendalikannya karena semua yang kami jalankan ada di server kami, jika tidak itu tidak masuk akal,” kata Dragonforce.
Namun, aturan -aturan itu hanya tersedia untuk para aktor ancaman yang merangkul model bisnis ransomware yang baru diusulkan.
Ketika ditanya apakah rumah sakit atau organisasi perawatan kesehatan terlarang, Dragonforce mengatakan bahwa itu semua tergantung pada jenis rumah sakit, dan menunjukkan apa yang bisa digambarkan sebagai empati.
“Kami tidak menyerang pasien kanker atau apa pun yang terkait dengan hati, kami lebih suka mengirimi mereka uang dan membantu mereka. Kami di sini untuk bisnis dan uang, saya tidak datang ke sini untuk membunuh orang, dan juga tidak ada mitra saya,” kata aktor ancaman itu kepada BleepingComputer.
Para peneliti di perusahaan cybersecurity Secureworks mengatakan bahwa model Dragonforce dapat menarik bagi beragam afiliasi yang lebih luas dan menarik lebih sedikit aktor ancaman teknis.
“Bahkan aktor ancaman yang canggih dapat menghargai fleksibilitas yang memungkinkan mereka untuk menggunakan malware mereka sendiri tanpa menciptakan dan mempertahankan infrastruktur mereka sendiri” – – – SecureWorks
Dengan meningkatkan basis afiliasi, Dragonforce dapat melihat keuntungan yang lebih besar yang didorong oleh fleksibilitas model yang diusulkan.
Tidak jelas berapa banyak afiliasi ransomware telah menghubungi Dragonforce Cartel tentang model layanan baru tetapi aktor ancaman mengatakan bahwa daftar anggota termasuk geng-geng terkenal.
“Saya tidak bisa memberi tahu Anda angka pastinya, tetapi kami memiliki pemain yang datang kepada kami yang sering Anda tulis dan ingin bekerja sama dengan kami,” kata Dragonforce kepada BleepingComputer.
Satu geng ransomware baru yang disebut Ransombay telah berlangganan model Dragonforce.
