11,6 тыс подписчиков

DragonForce: эволюция RaaS и угроза критически важным секторам

1 июля 20251 июл 2025

4 мин

В 2023 году появилась новая грозная угроза кибербезопасности — программа-вымогатель DragonForce, работающая по модели Ransomware-as-a-Service (RaaS). За недолгое время своего существования она кардинально изменила тактику, перейдя от нацеливания на политически мотивированные организации к финансово мотивированным атакам, значительно усилив свое влияние в ряде ключевых отраслей по всему миру. Особенность DragonForce — использование гибкой, модульной структуры, позволяющей филиалам создавать индивидуальные версии вредоносных программ. Благодаря этому группа оказывает глубокое воздействие на высокодоходные секторы экономики, особенно в регионах Северной Америки, Европы и Азии. Основные цели включают: Особое внимание уделяется уязвимым отраслям с критическими производственными сроками, а также технологическим компаниям, где нарушение работы поставщиков услуг способно привести к масштабным последствиям. В декабре 2023 года DragonForce запустила собственный портал DragonLeaks, служащий платф

Оглавление

Модульная архитектура и расширенные возможности
Появление портала DragonLeaks и тесные связи с хактивизмом
Технологические аспекты и методы внедрения

В 2023 году появилась новая грозная угроза кибербезопасности — программа-вымогатель DragonForce, работающая по модели Ransomware-as-a-Service (RaaS). За недолгое время своего существования она кардинально изменила тактику, перейдя от нацеливания на политически мотивированные организации к финансово мотивированным атакам, значительно усилив свое влияние в ряде ключевых отраслей по всему миру.

Модульная архитектура и расширенные возможности

Особенность DragonForce — использование гибкой, модульной структуры, позволяющей филиалам создавать индивидуальные версии вредоносных программ. Благодаря этому группа оказывает глубокое воздействие на высокодоходные секторы экономики, особенно в регионах Северной Америки, Европы и Азии. Основные цели включают:

розничную торговлю;
финансовый сектор;
обрабатывающее производство;
медицинские учреждения;
логистику и транспорт;
государственные службы и религиозные организации.

Особое внимание уделяется уязвимым отраслям с критическими производственными сроками, а также технологическим компаниям, где нарушение работы поставщиков услуг способно привести к масштабным последствиям.

Появление портала DragonLeaks и тесные связи с хактивизмом

В декабре 2023 года DragonForce запустила собственный портал DragonLeaks, служащий платформой для размещения украденных данных и ведения переговоров о выкупе. Этот шаг указывает на тесную связь с хактивистской группой DragonForce Malaysia, что усложняет борьбу с угрозой, комбинируя финансовую и политическую мотивацию.

Технологические аспекты и методы внедрения

Основу архитектуры DragonForce составляет модифицированная версия LockBit 3.0, которая использует стратегию двойного вымогательства: данные жертв шифруются, а параллельно угрожается публичное раскрытие украденных сведений, если требования выкупа не будут выполнены.

Начальный доступ с помощью группы чаще всего реализуется следующими методами:

фишинговые кампании;
использование уязвимостей, таких как Log4Shell (CVE-2021-44228);
утечка и использование скомпрометированных учетных данных.

Далее, для расширения доступа и закрепления контроля, злоумышленники применяют популярные инструменты:

Cobalt Strike — для бокового перемещения;
Mimikatz — для кражи учетных данных;
SystemBC — для поддержки связи командования и контроля и поддержания постоянного доступа.

Методы обхода безопасности включают использование протокола RDP для горизонтального перемещения и эксплуатацию доверительных отношений внутри корпоративных сетей.

Партнерская платформа и поддержка аффилированных лиц

DragonForce построила сложную централизованную партнерскую экосистему на базе собственной панели управления, доступной через .onion-сеть. Она позволяет аффилированным лицам:

настраивать payload программы-вымогателя под целевые среды;
управлять финансами и распределять доходы через многоуровневую программу комиссионных;
вести независимую деятельность с высокой степенью автономии.

Эта платформа существенно оптимизирует операции и способствует расширению влияния группы на рынке киберпреступности.

Углубление технических возможностей и обход защит

Группа использует переработанный вариант LockBit и расширенный форк Conti, обладает сложными алгоритмами шифрования и внедряет инновационные методы обхода систем обнаружения и реагирования (EDR) — в частности, метод BYOVD (Bring Your Own Vulnerable Driver), позволяющий отключать защитные механизмы через собственные уязвимые драйверы.

Использование SystemBC поддерживает скрытные перемещения внутри сетей и гарантирует постоянный канал связи с атакующими.

Экспертная оценка и рекомендации по защите

Постоянное воздействие DragonForce на критически важные отрасли экономики демонстрирует их стратегическое стремление максимизировать финансовые прибыли за счет организации сбоев и ущерба. Для снижения рисков эксперты рекомендуют организациям:

усилить меры обнаружения атак в критических точках сетевой инфраструктуры;
мониторить инструменты и методы, характерные для DragonForce;
подготовить эффективные планы реагирования на инциденты с программами-вымогателями;
регулярно обновлять защитное ПО и проводить тестирование систем на уязвимости, включая защиту от эксплойтов, подобных CVE-2021-44228;
обучать сотрудников мерам кибергигиены для предотвращения успешных фишинговых атак.

Тактика и технические возможности DragonForce делают ее одной из самых опасных групп в текущем ландшафте киберугроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "DragonForce: эволюция RaaS и угроза критически важным секторам".

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.