Siber güvenlik manzarası, giderek daha sofistike fidye yazılımı operasyonlarının ortaya çıkmasına tanık oldu ve Dragonforce, siyasi olarak motive olmuş saldırılardan büyük ölçekli finansal gasp kampanyalarına gelişen özellikle ilgili bir tehdit aktörü olarak ortaya çıktı.
Dragonforce Fidye Yazılımı Grubu, 2023 yılında politik olarak motive olmuş bir kolektif olarak başlatıldı ve başlangıçta belirli ideolojik inançlarla uyumlu varlıkları hedef aldı.
Bununla birlikte, grup, bugün aktif olarak hizmet olarak daha belirgin fidye yazılımı operasyonlarından biri olarak konumlandıran finansal olarak motive edilmiş gasp kampanyalarına doğru ilerleyen önemli bir dönüşüm geçirmiştir.
.png
)
Grubun evrimi, siber suçlu örgütlerin stratejilerini operasyonel erişimlerini genişletirken en üst düzeye çıkarmak için uyarlayan daha geniş eğilimini yansıtmaktadır.
Intel 471 analistleri, grubun bir “kartel” operasyon modeli olarak adlandırdığı şey altında çalıştığını belirledi, böylece ilgilenen aktörler Dragonforce’un altyapısını, araçlarını ve kaynaklarını veri sızıntı sitelerine erişim de dahil olmak üzere kaynaklar kullanabilirler.
.webp)
Bu yaklaşım, bağlı kuruluşların sadece Dragonforce bayrağı altında çalışmak yerine kendi isimlerini benimsemelerine izin vererek geleneksel RAAS modellerinden biraz farklıdır.
Grubun saldırıları küresel olarak belgelenmiştir, özellikle Kuzey Amerika, Avrupa ve Asya’daki perakende, finans ve üretim sektörlerinde yüksek profilli hedefleri etkilemektedir.
Grubun operasyonel metodolojisi, saldırganların kurbanların verilerini şifreledikleri ikili genişlemeli bir strateji etrafında odaklanırken, fidye talepleri karşılanmazsa, aynı zamanda pesfiltratlanmış bilgileri yayınlamakla tehdit eder.
Dragonforce, tescilli şifreleme araçları geliştirmek yerine, modern siber suçlu ekosistemlerin birbirine bağlı doğasını gösteren Lockbit ve Conti de dahil olmak üzere köklü fidye yazılımı üreticilerini kaldırmıştır.
Intel 471 araştırmacı, 2025 yılı boyunca Dragonforce’un 53 olası kurbanını izleyerek grubun sürekli operasyonel temposunu vurguladı.
DragonForce ile bağlantılı önemli olaylar arasında, büyük İngiltere perakendecileri Marks & Spencer ve kooperatifi etkileyen veri ihlalleri arasında ciddi operasyonel aksamalara neden oluyor.
Bu saldırılar, dağınık örümcek olarak da bilinen daha geniş thecom çevrimiçi ekosistemine bağlı olan Dragonforce iştirakleri olduğundan şüphelenilen yerel İngilizce konuşan saldırganlara atfedildi.
Kalıcılık taktikleri ve kayıt defteri manipülasyonu
Dragonforce, tehlikeye atılan sistemlere erişimi sürdürmek için sofistike kalıcılık mekanizmaları kullanır, kayıt defteri çalıştırma anahtar modifikasyonu, operasyonel metodolojilerinin temel taşını temsil eder.
.webp)
İlk sistem uzlaşmasından sonra grup, kötü amaçlı yazılımlarının sistem yeniden başlatıldıktan sonra otomatik olarak yürütülmesini sağlayan kalıcılık tekniklerini uygular ve savunucular diğer saldırı vektörlerini düzeltmeye çalıştığında bile erişimi etkili bir şekilde sürdürür.
Grubun kalıcılık stratejisi, başlangıç klasörlerine kötü amaçlı programlar eklemeyi veya bunları Windows kayıt defteri çalıştırma anahtarları aracılığıyla referans almayı ve kullanıcıların oturum açtığında referanslı programların otomatik olarak yürütülmesine izin vermeyi içerir.
Bu teknik, kullanıcı etkileşimi veya tekrarlanan sosyal mühendislik çabalarına ihtiyaç duymadan sürekli erişim sağlar ve bu da sömürme sonrası faaliyetlerinin kritik bir bileşenini temsil eder.
Herhangi biriyle tehdit tepkisini otomatikleştirin. -> Tam erişim isteyin