2023’ten bu yana faaliyet gösteren bir hizmet olarak fidye yazılımı operasyonu olan DragonForce, müthiş bir tehdit altyapısı oluşturmak için kamuya sızdırılan Conti v3 kaynak kodundan yararlanarak, araştırmacıların artık yapılandırılmış bir siber suç karteli olarak tanımladığı bir yapıya dramatik bir şekilde dönüştü.
Grup, özelleştirilmiş bir Conti v3 kod tabanına geçmeden önce şifreleyiciler geliştirmek için başlangıçta LockBit 3.0 oluşturucuya güvendi ve bu da ona yerleşik fidye yazılımı operasyonlarına rakip olabilecek önemli operasyonel avantajlar ve teknik yetenekler sağladı.
Geçiş, DragonForce’un evriminde bir dönüm noktası oldu. Kuruluş, geleneksel bir fidye yazılımı grubu olarak faaliyet göstermek yerine, 2025’in başlarında kendisini bir kartel olarak yeniden markalaştırdı ve iş yapma biçimini temelden değiştirdi.
Bu değişim, bağlı kuruluşların, DragonForce’un altyapı şemsiyesi altında operasyonel bağımsızlığını korurken, yüklerini beyaz etiketlemesine ve kendi markalı çeşitlerini oluşturmasına olanak tanıyor.
Kartel yapısı, iştiraklere kârın yüzde 80’ini teklif ederek, girişin önündeki teknik engelleri ortadan kaldırıyor ve yeni operatörlerin işe alınmasını teşvik ediyor.
Grup artık otomatik dağıtım sistemleri, özelleştirilebilir şifreleyiciler, 7/24 izlemeli güvenilir altyapı ve Windows, ESXi, Linux, BSD ve NAS sistemlerini kapsayan birden fazla platform için destek dahil olmak üzere kapsamlı araçlar sağlıyor.
Acronis araştırmacıları ve tehdit analistleri, DragonForce’un, sosyal mühendislik ve çok faktörlü kimlik doğrulamayı atlama taktikleri konusunda uzmanlaşmış, mali açıdan motive edilmiş bir ilk erişim komisyoncusu olan Scattered Spider’ın yanı sıra gelişmiş saldırı metodolojileri kullandığını tespit etti.
.webp)
Scattered Spider, sosyal medya ve açık kaynak istihbaratı aracılığıyla hedef çalışanlar üzerinde keşif yaparak kimlik avı kampanyaları ve sesli kimlik avı saldırıları düzenlemek için ikna edici bahaneler hazırlıyor.
Kimlik bilgileri ele geçirildiğinde grup, kalıcılığı sağlamak için ScreenConnect ve AnyDesk gibi uzaktan izleme araçlarını devreye alıyor, ardından yedekleme altyapısına, kimlik bilgisi havuzlarına ve VMware ortamlarına odaklanarak kapsamlı ağ keşifleri gerçekleştiriyor.
Gelişmiş Şifreleme Mekanizmaları ve Teknik İyileştirme
DragonForce’un teknik gelişmişliği onu rakip operasyonlardan ayırıyor.
Kötü amaçlı yazılım, yapılandırma dosyaları için ChaCha20 şifrelemesini kullanıyor ve hedeflenen her dosya için benzersiz şifreleme anahtarları üretiyor.
Özellikle, güvenlik araştırmacılarının bir Habr makalesi aracılığıyla Akira fidye yazılımındaki şifreleme zayıflıklarını açığa çıkarmasının ardından DragonForce, aktif tehdit istihbaratı izleme ve hızlı teknik adaptasyon sergileyerek kendi şifre uygulamasını derhal güçlendirdi.
Grup, tek tek dosyalar için şifreleme stratejilerini belirleyen yapılandırılabilir eşiklerle tam, başlık ve kısmi şifreleme dahil olmak üzere birden fazla şifreleme modu uygular.
Özellikle endişe verici bir teknik, güvenlik yazılımını ve korunan süreçleri sonlandırmak için truesight.sys ve rentdrv2.sys gibi savunmasız sürücüleri kullanan BYOVD saldırılarını içerir.
Kötü amaçlı yazılım, belirli kontrol kodlarını kullanarak DeviceIoControl işlevleri aracılığıyla bu sürücülerle iletişim kurar ve uç nokta algılama ve yanıt çözümlerini etkili bir şekilde atlar.
Yapılandırma parametreleri, şifreleme başarı oranlarını en üst düzeye çıkarmak için SQL Server örnekleri, Oracle veritabanları ve Microsoft üretkenlik uygulamalarını içeren hedeflenen süreç sonlandırma listeleriyle karmaşık operasyonel planlamayı ortaya çıkarır.
DragonForce, 2023’ün sonlarından bu yana perakende, havayolları, sigorta, yönetilen hizmet sağlayıcılar ve kurumsal sektörlerde 200’den fazla kurbanı açığa çıkardı.
Scattered Spider ve DragonForce işbirliğine atfedilen Marks & Spencer saldırısı, ortaklıklarının operasyonel etkinliğini örnekliyor.
DragonForce, rakip grupları hedef alan altyapı devralmaları yoluyla bağlı kuruluşları işe almaya ve pazar hakimiyeti kurmaya devam ederken, kartel modeli, fidye yazılımı operasyonlarında endişe verici bir evrimi temsil ediyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
