Scroll untuk baca artikel
Networking

Pelajari lebih dalam tentang ransomware DragonForce dan koneksi Scattered Spider-nya

78
×

Pelajari lebih dalam tentang ransomware DragonForce dan koneksi Scattered Spider-nya

Share this article
pelajari-lebih-dalam-tentang-ransomware-dragonforce-dan-koneksi-scattered-spider-nya
Pelajari lebih dalam tentang ransomware DragonForce dan koneksi Scattered Spider-nya

Wayang kulit

Peneliti keamanan telah melakukan analisis mendalam Ransomware DragonForce yang pertama kali muncul pada tahun 2023 dan kemudian berkembang menjadi apa yang mereka sebut sebagai “kartel ransomware”.

Example 300x600

Varian terbaru mengeksploitasi driver yang rentan seperti truesight.sys dan rentdrv2.sys untuk menonaktifkan program keamanan, mematikan proses yang dilindungi, dan memperbaiki kerentanan enkripsi yang sebelumnya terkait dengan ransomware Akira.

Skema enkripsi yang diperbarui mengatasi kerentanan yang didokumentasikan secara terbuka dalam publikasi Habr yang dirujuk di situs kebocoran DragonForce.

DragonForce telah mengintensifkan operasinya terhadap organisasi di seluruh dunia, menerbitkan rincian lebih banyak entitas yang disusupi dibandingkan tahun sebelumnya.

Pelanggaran paling menonjol yang dilakukan kelompok ini, yang melibatkan perusahaan ritel Marks & Spencer, dilakukan dalam kemitraan dengan kolektif penjahat dunia maya Laba-laba Tersebar kelompok peretasan.

Munculnya DragonForce

DragonForce beroperasi sebagai operasi ransomware-as-a-service (RaaS). Kelompok ini menghidupkan kembali aktivitas ransomware, dan secara aktif merekrut kolaborator jahat melalui platform kejahatan dunia maya bawah tanah.

Pada awalnya, geng tersebut menggunakan pembuat LockBit 3.0 yang telah dikompromikan untuk membuat alat enkripsinya dan kemudian beralih ke versi kode sumber Conti v3 yang dimodifikasi.

blog kekuatan naga

Bertransformasi dari kelompok ransomware menjadi “kartel”

Kembali pada tahun 2025, DragonForce mengubah namanya menjadi “kartel ransomware,” menandai perubahan mendadak dalam strategi operasional.

Dengan menawarkan 80% keuntungan kepada afiliasi, enkripsi dan infrastruktur yang dapat disesuaikan, DragonForce menurunkan hambatan masuk bagi penjahat dunia maya baru dan belum berpengalaman.

Langkah ini mendorong lebih banyak afiliasi untuk bergabung dengan kartel dan memperluas kehadirannya.

DragonForce dan koneksi Spider Tersebarnya

Kemitraan DragonForce dengan Scattered Spider, pelaku ancaman bermotivasi finansial yang terkenal dengan rekayasa sosial dan operasi akses awal yang canggih, telah terbukti efektif dalam memungkinkan penyebaran ransomware ke target bernilai tinggi.

Laba-laba Tersebar biasanya memulai intrusinya dengan melakukan pengintaian terhadap staf organisasi untuk mengidentifikasi target potensial dan mengembangkan kepribadian dan dalih yang meyakinkan.

Kelompok ini mengumpulkan rincian seperti nama, jabatan, dan informasi publik lainnya menggunakan platform media sosial dan alat intelijen sumber terbuka. Mereka kemudian menggunakan taktik rekayasa sosial tingkat lanjut untuk mendapatkan atau mengatur ulang kredensial dan menghindari autentikasi multifaktor melalui taktik yang menipu seperti kelelahan MFA atau pertukaran SIM.

Setelah akses diperoleh, Spider Tersebar masuk sebagai pengguna yang disusupi dan mendaftarkan perangkatnya sendiri untuk mempertahankan entri.

Setelah pelanggaran awal, Scattered Spider membangun persistensi dengan menerapkan alat pemantauan dan manajemen jarak jauh (RMM) atau layanan penerowongan.

Misalnya, alat ini dapat mencakup ScreenConnect, AnyDesk, TeamViewer, dan Splashtop. Begitu berada di dalam jaringan, Scattered Spider melakukan pengintaian menyeluruh, menargetkan aset di SharePoint, repositori kredensial, server cadangan, dan dokumentasi konfigurasi VPN.

Dalam aktivitas baru-baru ini, Scattered Spider telah memanfaatkan Inventaris AWS Systems Manager untuk mengidentifikasi sistem tambahan untuk pergerakan lateral. Mereka menggunakan alat ekstrak, transformasi, dan muat (ETL) untuk mengkompilasi data yang dikumpulkan ke dalam database pusat, yang kemudian dieksfiltrasi ke layanan penyimpanan MEGA atau Amazon S3 yang dikendalikan penyerang.

Operasi ini diakhiri dengan penerapan ransomware DragonForce, mengenkripsi data di lingkungan Windows, Linux, dan ESXi.

Lebih baik bersama-sama ransomware

DragonForce mewakili ancaman baru yang lebih terorganisir dan persisten, dibangun berdasarkan kerangka kerja ransomware yang sudah ada, namun secara bertahap ditingkatkan dan didistribusikan dalam skala besar.

Berbeda dengan kelompok yang sangat menyesuaikan kode mereka, DragonForce berfokus pada rekrutmen bergaya kartel, fleksibilitas operasional afiliasi, dan kemitraan luas, menjadikannya aktor yang tangguh dan mudah beradaptasi.

Ditambah dengan Scattered Spider, kelompok kejahatan dunia maya dengan model kooperatif, bukan model kompetisi murni, menandai perubahan yang mempersulit upaya defensif organisasi di seluruh dunia.

Poin-poin penting

Duo DragonForce dan Scattered Spider merupakan peringatan akan adanya kejahatan dunia maya “kartelisasi”, di mana pelaku ancaman yang sangat terspesialisasi menggabungkan keterampilan mereka, dalam hal ini, rekayasa sosial elit dan keterampilan akses awal dari Scattered Spider dan model ransomware-as-a-service yang kuat dari DragonForce, untuk melakukan serangan yang menghancurkan dan berskala besar.

Aliansi strategis mereka secara signifikan meningkatkan lanskap ancaman dengan menciptakan operasi kriminal yang lebih efisien dan adaptif yang berfokus pada pelanggaran pertahanan dengan mengeksploitasi kesalahan manusia sebelum memanfaatkan malware yang canggih.

Ke depan, profesional keamanan TI harus mempertimbangkan bahwa pertahanan memerlukan penanganan model kolaboratif ransomware secara langsung.

Terapkan dan terapkan secara ketat metode autentikasi multifaktor (MFA) yang tahan phishing untuk menetralisir vektor akses awal utama Scattered Spider, dan fokus pada sistem yang kuat. solusi deteksi dan respons titik akhir (EDR). yang memperingatkan penerapan alat pemantauan jarak jauh dan penggunaan driver yang rentan, yang merupakan petunjuk teknis dari peralihan dari broker akses awal ke afiliasi ransomware.

Tim keamanan perlu mengantisipasi bahwa serangan tidak lagi merupakan ancaman satu entitas, namun intrusi multistage yang terkoordinasi dengan menggunakan alat dan teknik terbaik dari ekosistem musuh siber yang terspesialisasi.

Tentang kebenaran

Itu Unit Penelitian Ancaman Acronis (TRU) adalah tim pakar keamanan siber yang berspesialisasi dalam intelijen ancaman, AI, dan manajemen risiko. Tim TRU meneliti ancaman yang muncul, memberikan wawasan keamanan dan mendukung tim TI dengan pedoman, respons insiden, dan lokakarya pendidikan.

Lihat penelitian TRU terbaru

Disponsori dan ditulis oleh Akronis.