В декабре 2023 года на киберугрозной арене появилась группа под названием DragonForce — продвинутая программа-вымогатель, быстро укрепившая своё присутствие на рынке угроз. Центром её операций стал тёмный веб-портал DragonLeaks, который с момента создания использовался для координации атак и публикации данных жертв.
Краткая суть отчёта
Анализ показывает, что операционные тактики, методы и процедуры (TTP) DragonForce соответствуют рамкам MITRE ATT&CK, что свидетельствует о всестороннем понимании компрометации корпоративных сетей. Группа применяет скоординированный подход: детальная разведка целевых сред, поиск пробелов в защите и адаптация тактик в ответ на контрмеры специалистов по кибербезопасности.
«Темный веб-портал «DragonLeaks» способствовал деятельности группы с момента её создания», — отмечает отчёт.
Ключевые особенности и поведение группы
- Дата появления: декабрь 2023.
- Коммуникационная платформа: тёмный веб‑портал DragonLeaks.
- Соответствие стандартам: TTP группы сопоставимы с фреймворком MITRE ATT&CK.
- Тактики первоначального доступа: социальная инженерия, фишинг, эксплуатация известных уязвимостей в программном обеспечении.
- Оперативный стиль: детальная разведка, быстрая адаптация к защитным мерам, постоянная разработка вредоносного ПО и сопутствующих инструментов.
Методы первоначального доступа и дальнейшие действия
Хотя отчёт не предоставляет полного перечня конкретных векторов initial access, известно, что DragonForce использует комбинацию:
- фишинговых кампаний и целевых социальных атак;
- эксплуатации известных уязвимостей в цифровой инфраструктуре;
- скрытного закрепления в сети с последующей разведкой окружения и эскалацией привилегий.
Соответствие практик группы MITRE ATT&CK говорит о системном подходе к планированию атак и использовании общеизвестных техник для перемещения по сети и шифрования критичных ресурсов.
Адаптация и развитие инструментов
DragonForce демонстрирует способность быстро менять тактики в ответ на внедряемые контрмеры. Постоянная разработка malware-компонентов и вспомогательных утилит позволяет группе увеличивать эффективность атак и обходить новые механизмы защиты.
Риски для организаций
Нарастание активности подобных продвинутых ransomware-групп увеличивает вероятность серьёзных инцидентов, включая утечку данных, длительные простои и финансовые потери. Наличие публичной площадки для публикации похищенных данных (DragonLeaks) усиливает давление на жертв и повышает репутационные риски.
Рекомендации по защите
Для снижения рисков и минимизации последствий атак рекомендуется внедрить следующие меры:
- регулярное применение патчей и управление уязвимостями;
- обучение сотрудников распознаванию фишинга и приёмам безопасности при работе с почтой;
- сегментация сети и ограничение привилегий по принципу least privilege;
- резервное копирование критичных данных с хранением offline и проверка восстановления;
- внедрение EDR/становительных средств обнаружения и реагирования;
- разработка и тестирование плана инцидент‑реагирования;
- обмен угрозовой информацией и мониторинг тёмного веба на предмет упоминаний DragonLeaks и связанных индикаторов компрометации.
Вывод
DragonForce — пример современной, адаптивной угрозы класса ransomware, использующей как человеческие, так и технические уязвимости. Растущая распространённость подобных групп подчёркивает необходимость проактивных мер кибергигиены, постоянного мониторинга окружения и готовности к быстрому реагированию на инциденты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "DragonForce: продвинутая программа-вымогатель, использующая DragonLeaks".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.