El ransomware de Dragonforce se ha convertido en una de las amenazas más sofisticadas en el ecosistema cibercriminal, transformándose de un colectivo hacktivista en una operación madura de ransomware como servicio (RAAS) desde su debut en diciembre de 2023.
Inicialmente, el grupo ganó notoriedad a través de ataques cibernéticos ideológicamente impulsados por las organizaciones cuyos valores entraban en conflicto con su postura política, pero desde entonces ha girado hacia motivaciones puramente financieras, estableciéndose como un jugador dominante en el panorama global de ransomware.
La característica distintiva del ransomware se encuentra en su arquitectura altamente modular que empodera a los afiliados con capacidades de personalización sin precedentes.
A través de su sofisticada plataforma RAAS, DragonForce proporciona un conjunto de herramientas integral que permite a los actores de amenaza elaborar cargas útiles de ransomware a medida diseñadas específicamente para sus entornos objetivo.
Esta flexibilidad ha facilitado campañas exitosas en diversas industrias, con impactos particularmente devastadores en la fabricación, los servicios financieros y los sectores minoristas que abarcan América del Norte, Europa y Asia.
Investigadores de Darkatlas identificado Esa base técnica de Dragonforce se basa en el Builder Lockbit 3.0 filtrado, que el grupo ha modificado ampliamente para incorporar capacidades de evasión avanzadas y mecanismos de implementación simplificados.
La plataforma presenta un constructor de carga útil personalizable que permite a los afiliados modificar módulos de cifrado, notas de rescate y comportamientos de movimiento lateral de acuerdo con requisitos operativos específicos.
Además, el sistema incluye algoritmos de cifrado optimizados por el sigilo diseñados para evitar soluciones de detección y respuesta de punto final, portales de víctimas multilingües para operaciones globales y soporte de afiliados integral, incluida la documentación técnica.
El modelo de ingresos del grupo opera en un sistema de intercambio escalonado que incentiva las campañas más destructivas, creando un entorno competitivo entre los afiliados que ha contribuido a la rápida proliferación del ransomware.
Su plataforma de afiliación centralizada proporciona a cada socio paneles de control únicos con paneles de seguimiento de ingresos, sistemas de gestión de víctimas e integración directa con su sitio de fuga de datos “DragonLeaks” para un mayor apalancamiento de extorsión.
Mecanismos avanzados de evasión y persistencia
El avance técnico más preocupante de DragonForce radica en sus sofisticadas capacidades de evasión que combinan múltiples capas de el elección de defensa.
El malware emplea patrones de cifrado intermitentes que hacen que la detección sea significativamente más desafiante para las soluciones de seguridad tradicionales.
Blog de Dragonforce (fuente – Darkatlas)
En lugar de encriptar archivos en secuencias predecibles, el ransomware utiliza intervalos de cifrado aleatorios que pueden evadir los sistemas de detección basados en el comportamiento que se basan en patrones consistentes de modificación de archivos.
El grupo ha integrado la técnica Bring Your Own Vulnerable Driver (BYOVD) para deshabilitar los sistemas de protección EDR y XDR a nivel de núcleo.
Este enfoque implica la implementación de impulsores legítimos pero vulnerables que pueden ser explotados para obtener privilegios elevados y terminar los procesos de seguridad.
El paquete de malware incluye SystemBC, una puerta trasera multifuncional que establece canales cifrados de comando y control al tiempo que proporciona acceso persistente para actividades de reconocimiento.
Estas capacidades se ven mejoradas por mecanismos anti-análisis diseñados para detectar y evadir los entornos de sandbox, lo que hace que la investigación forense sea significativamente más compleja para los investigadores de seguridad.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
