DragonForce, gürültülü forum gönderilerinden tam RaaS operasyonlarına geçiş yapan ve hem Windows hem de VMware ESXi ortamlarını hedefleyen en yeni fidye yazılımı markasıdır.
İlk olarak Aralık 2023’te BreachForums’ta görülen grup, çalınan verilerin reklamını yapıyor ve mağdurlara baskı yapmak için bir dark web blogu kullanıyor. İlk sızıntı gönderisi, yeni kartel tarzı operasyonu ortaya çıkardı.
Grup, yükünü sızdırılan LockBit 3.0 ve Conti kodundan oluşturdu, ancak yerel diskler ve ağ paylaşımları arasında esnek, yüksek hızlı şifreleme için ayarladı.
Operatörler genellikle açıktaki uzak masaüstü sunucuları üzerinden erişim sağlıyor ve ardından fidye yazılımını başlatmadan önce Cobalt Strike ve SystemBC gibi araçları kullanarak yana doğru hareket ediyor. Etki, şifrelenmiş dosya sunucuları ve sanal makinelerden kamuya açıklanmak üzere hazırlanan çalıntı verilere kadar uzanmaktadır.
.webp)
S2W analistleri, evde oluşturulan kod gizleme rutiniyle neredeyse tüm dizeleri gizleyen ve dosya şifreleme için ChaCha8 artı RSA-4096’ya dayanan özel bir DragonForce yapısı belirledi.
Araştırmaları, komut satırı işaretlerinin bağlı kuruluşların yerel, yalnızca ağ veya karma modları seçmesine ve hatta saldırıları hızlandırmak için kısmi şifreleme oranlarını ayarlamasına olanak tanıdığını gösteriyor. DLS, yapılandırma şifresinin çözülmesinden işlem sonlandırma ve dosya karıştırmaya kadar dahili iş akışını gösterir.
.webp)
Daha geniş tehdit avı sırasında, S2W araştırmacıları hem Windows hem de ESXi sistemleri için çalışan bir şifre çözücü elde etti ve bazı kurbanlara fidye ödemeden kurtarma yolu sağladı.
Windows aracı .RNP uzantılı dosyaları ararken ESXi sürümü de build_key adı verilen sekiz baytlık belirli bir sihirli değerle biten .RNP_esxi dosyalarını kontrol eder. Bunun yanı sıra, RSA anahtar yüklemesinden meta veri ayrıştırmaya ve dosya geri yüklemesine kadar tüm şifre çözme zincirini eşler.
.webp)
Bu eksiksiz teknik analiz, savunuculara DragonForce araçları ve kurtarma seçenekleri hakkında fikir verir.
Şifreleme ve Şifre Çözme İş Akışı
Fidye yazılımı yürütüldüğünde ilk olarak ChaCha8’i kullanarak dahili yapılandırmasının şifresini çözer, ardından şifreleme modu ve hedef yolu gibi seçenekleri okur.
.webp)
S2W analistleri tarafından görülen yaygın bir komut: dragonforce.exe -m net -p C:\\ -j 8Bu, kötü amaçlı yazılımın birden fazla çalışan iş parçacığıyla bu yol altındaki ağ hedeflerini vurmasını söyler.
.webp)
DragonForce, yerel ve uzak yolları tararken çekirdek sistem alanlarını atlar ve ardından seçilen dosyaları şifreler. Büyük sanal disk görüntüleri için, zamandan tasarruf etmek amacıyla dosyanın tamamı yerine yalnızca parçaları şifreler.
Her dosyanın sonunda, RSA şifreli ChaCha8 anahtarı ve modu, oranı ve orijinal boyutu saklayan nonce plus işaretleriyle 534 baytlık meta veri yazar.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
