Güvenlik araştırmacıları, DragonForce fidye yazılımı operasyonunun derinlemesine bir teknik analizinin yanı sıra, belirli kurbanları hedef alan hem Windows hem de ESXi sistemleri için çalışan şifre çözücülerin ayrıntılarını yayınladı.
Aynı ayın sonlarında özel Veri Sızıntı Sitesi (DLS) belirlendiğinde, 17 mağdur kuruluş zaten listelenmişti.
DragonForce kendisini bir kartel olarak pazarlıyor ve bağlı kuruluşların özelleştirilmiş yükler ve yapılandırma seçenekleri talep etmesine olanak tanıyan “Ransombay” markalı bir hizmeti işletiyor.
RAMP forumunda Haziran 2024’te yayınlanan bir işe alım gönderisi aracılığıyla resmileştirilen RaaS modeli kapsamında DragonForce, ilk erişim komisyoncularını, solo pentester’ları ve organize ekipleri aktif olarak işe alıyor ve bağlı kuruluşlara fidye gelirlerinin %80’ine kadar teklif ederek agresif büyüme hedeflerinin altını çiziyor.
Teknik ve operasyonel olarak DragonForce tek başına mevcut değildir. Fidye yazılımı ağırlıklı olarak sızdırılan LockBit 3.0 (Black) ve Conti kodunu temel alıyor ve analiz edilen bir örnek Conti‑lineage DragonForce varyantı olarak değerlendiriliyor.
İkili benzerlik analizi, LockBit 3.0 ile %90’ın üzerinde işlevsel örtüşme olduğunu gösterdi; bu da Conti tarzı mantığı ve yapılandırma davranışını korurken sızdırılan LockBit Black oluşturucunun kullanılmasını kuvvetle öneriyor.
Altyapı ve kod çakışmaları, DragonForce’u altyapı geçişi, paylaşılan veya çoğaltılmış kod ve neredeyse aynı fidye notlarıyla birlikte BlackLock ve RansomHub dahil diğer birkaç önemli gruba bağladı.
Dikkate değer bir durumda DragonForce operatörleri, yanlış yapılandırma ve LFI güvenlik açığı nedeniyle BlackLock’un DLS’sini tehlikeye attı, altyapısını ele geçirdi ve dahili verileri açığa çıkardı.
İlk olarak 13 Aralık 2023’te bir BreachForums kullanıcısı “@dragonforce”, “aglgases.com gigabayt veri!” başlığı altında çalınan verilerin reklamını yaptığında gözlemlenen grup, Hizmet Olarak Fidye Yazılımı (RaaS) ekosisteminde kısa sürede ciddi bir oyuncu olarak ortaya çıktı.
Forum gönderileri ayrıca RansomHub altyapısının DragonForce tarafından devredildiğini veya devralındığını ve “DragonNews” markasının yeni bir DLS’de göründüğünü iddia etti.
Ayrı bir gelişmede VX‑Underground, DragonForce’un LockBit ve Qilin ile bir koordinasyon ittifakı kurmaya çalıştığını, kamusal iç çatışmalardan kaçınmak ve kolektif etkiyi güçlendirmek için ortak iletişim kanalları ve karşılıklı saldırmazlık duruşu önerdiğini bildirdi.
Teknik Arıza
DragonForce fidye yazılımı, özünde özel dize gizlemeyi kullanarak dizelerin şifresini özel bir algoritma aracılığıyla çalışma zamanında çözer. -m bayrağının şifreleme modunu (yerel, ağ veya karma) kontrol ettiği beş komut satırı bağımsız değişkenini destekler.
Dosya şifreleme, ChaCha8 akış şifresine dayanır ve her dosya, dosya başına rastgele oluşturulmuş bir oturum anahtarı alır. Şifreleme tamamlanmadan önce fidye yazılımı, şifrelenmiş her dosyanın sonuna 534 baytlık meta veri ekler. Bu meta veri blobu şunları içerir:
- ChaCha8 anahtarına ve nonce’ye sahip RSA‑4096 şifreli bir yapı.
- 1 baytlık şifreleme türü sabiti (tam, yalnızca başlık veya kısmi).
- 1 baytlık şifreleme oranı.
- Orijinal dosya boyutunu saklayan 8 baytlık bir alan.
DragonForce, etki ve performansı dengelemek için dosya türüne ve boyutuna bağlı olarak tam, başlık veya kısmi şifreleme uygular, veritabanı benzeri formatları tamamen şifreler ve sanal makine ve disk görüntü dosyalarını kısmen şifreler. .
Ağ şifreleme modu, özel aralıktaki IP adreslerini numaralandırır, SMB aracılığıyla bağlanır ve ADMIN$ atlanırken yalnızca belirli paylaşım türlerini hedefler.
Kötü amaçlı yazılım, yapılandırılırsa dosyaları yeniden adlandırır ve kullanıcı arayüzünü de değiştirir. encrypt_file_name bayrağı etkinleştirildiğinde DragonForce Base32, özel bir alfabe kullanarak orijinal dosya adını kodlar ve ardından uzantısını ekler.
En az bir soy için .dragonforce_encrypted uzantısı kullanılır. Ek seçenekler, fidye yazılımının, paketlenmiş bir ICO görüntüsü kullanarak şifrelenmiş dosyaların simgesini değiştirmesine ve masaüstü duvar kağıdını özel fidye temalı bir arka planla değiştirmesine olanak tanır.
Windows ve ESXi Hedefleri için Şifre Çözücü
Önemli bir gelişme olarak, S2W Tehdit Araştırma ve İstihbarat Merkezi (TALON), gruba yönelik tehdit avlama operasyonları sırasında DragonForce şifre çözücüyü elde etti.
Araç seti belirli kurbanlar için özel olarak tasarlandı ve her biri belirli bir konfigürasyona ve anahtar materyale bağlı bir Windows şifre çözücü ve üç ESXi şifre çözücüden oluşuyor.
Windows’ta şifre çözücü, .RNP uzantılı dosyaları tarayarak şifrelenmiş verileri bulur.
Her dosya için, dosyanın sonundaki meta verileri okur, ChaCha8 oturum anahtarının ve nonce’ın şifresini çözmek için yerleşik RSA‑4096 özel anahtarını kullanır ve ardından fidye yazılımı tarafından kullanılan aynı ChaCha8 rutiniyle orijinal içeriği geri yükler.
Windows aracı aynı zamanda ağ paylaşımı şifre çözmeyi de destekleyerek fidye yazılımının özel aralıktaki ana bilgisayarları ve paylaşımları ARP ve SMB tabanlı keşfini yansıtıyor.
ESXi için şifrelenmiş dosyalar, özel bir uzantı (.RNP_esxi gibi) ve kurban başına “build_key”den türetilen sihirli bir değerle tanımlanır.
DragonForce ile şifrelenmiş dosyaların meta verileri, ChaCha8 oturum anahtarını saldırganın RSA genel anahtarının altına yerleştirdiğinden, S2W şifre çözücü içindeki karşılık gelen RSA özel anahtarına erişim, söz konusu belirli kurbanlar için etkilenen verilerin tamamen kurtarılmasına olanak tanır.
Şifre çözme girişiminde bulunmadan önce ESXi şifre çözücü, aday dosyanın son 8 baytını kontrol eder; yalnızca gömülü build_key ile eşleşirlerse devam eder.
Doğrulandıktan sonra, RSA şifreli meta verileri ayrıştırır, ChaCha8 oturum anahtarını ve tekrarını çıkarır, içeriğin şifresini çözer, meta veri fragmanını kaldırır ve dosyayı orijinal adına geri yükler.
Araç seti tüm DragonForce vakaları için evrensel bir tedavi olmasa da, varlığı, kurtarma için nadir bir fırsat ve grubun Conti’den türetilmiş şifreleme tasarımına ilişkin ek bilgiler sağlar.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.