DragonForce — платформа типа RaaS (Ransomware-as-a-Service), появившаяся в конце 2023 года, привлекла внимание безопасности благодаря широким возможностям и инфраструктуре, ориентированной на поддержку «филиалов» — сторонних операторов атак. По данным расследования, проведённого компанией Darktrace, DragonForce причастна к ряду заметных инцидентов против розничных компаний в Великобритании и демонстрирует последовательность тактик, методов и процедур (TTP), усложняющую защиту корпоративных сетей.
Кто такие DragonForce и почему это опасно
DragonForce предлагает партнёрскую программу с моделью разделения доходов примерно 20% — ставка, заметно ниже, чем у многих других RaaS-платформ. Такая цена делает сервис привлекательным для широкого круга злоумышленников: доступность инфраструктуры и шаблонов атак снижает порог вхождения и увеличивает число возможных операторов атак с разной степенью квалификации.
Ключевые тактики и вектор проникновения
Анализ Darktrace не смог однозначно установить точный первоначальный вектор доступа в одном из исследованных инцидентов, однако эксперты указывают на набор типичных для филиалов DragonForce приёмов:
- фишинг по e-mail с активным использованием социальной инженерии;
- эксплуатация уязвимостей в публично доступных приложениях;
- развёртывание web-shells;
- неправильное или злоупотребление инструментами удалённого администрирования;
- грубо форсированные атаки для получения административных учётных записей.
«Точный вектор первоначального доступа оставался неясным», — отмечали в Darktrace, добавляя, что обнаруженные поведения соответствовали ранее задокументированным методикам филиалов DragonForce.
Хронология обнаруженных действий (август — сентябрь 2025)
Следы активности начали появляться в конце августа — начале сентября 2025 года. Среди зафиксированных событий:
- сканирование внутренней сети и многочисленные попытки brute force, направленные на захват прав администратора; чаще всего подбирались имена пользователей: «администратор», Admin, rdpadmin, ftpadmin;
- обновления ключевых разделов реестра Windows, указывающие на попытки закрепления в системе (например, изменения в HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlWMISecurity и в HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks);
- после успешных попыток подбора фиксировалось использование новых администраторских учётных данных, что указывает на возможное использование заранее скомпрометированных имен пользователей;
- перед развёртыванием Ransomware наблюдались операции эксфильтрации: устройства по SSH передавали конфиденциальные данные на IP 45.135.232.229;
- развёртывание программы-вымогателя сопровождалось появлением файла уведомления о выкупе — readme.txt — в общедоступных веб-путях (например, inetpub, wwwroot), где злоумышленники прямо указывали на связь с DragonForce.
Технические индикаторы и примечания
- IP, связанный с эксфильтрацией: 45.135.232.229;
- попытки доступа к часто используемым административным учётным записям;
- изменения реестра Windows в ключевых местах — характерная практика для закрепления и устойчивого доступа;
- эксфильтрация по SSH до развертывания Ransomware — свидетельство целенаправленного сбора данных перед шифрованием;
- совмещение операций чтения/записи файлов по SMB и дополнительные расширения в поведении, согласующиеся с категоризацией в рамках MITRE ATT&CK framework.
Почему это усложняет работу служб безопасности
Появление и рост RaaS-провайдеров, таких как DragonForce, меняет ландшафт угроз: платформа предоставляет инфраструктуру, документацию и готовые инструменты, а филиалы масштабируют её влияние, применяя различные тактики и уровни навыков. Для команд защиты это означает:
- большее число вариаций атак с непредсказуемыми TTP;
- сложность атрибуции и прогнозирования следующего шага злоумышленников;
- необходимость расширенного мониторинга и оперативного реагирования на комбинации индикаторов (brute force → registry changes → exfiltration → ransomware).
Рекомендации для защиты
На основе обнаруженных паттернов аналитики и практики по безопасности рекомендуют следующие меры:
- внедрить многофакторную аутентификацию (MFA) для всех административных учётных записей и удалённого доступа;
- ограничить и мониторить внешние сервисы удалённого доступа (RDP, SSH) — по возможности использовать VPN и белые списки IP;
- жёстко сегментировать сеть и минимизировать привилегии сервисных и административных учётных записей;
- отслеживать аномальные попытки входа и массовые попытки brute force; блокировать подозрительные IP и адреса, связанные с эксфильтрацией;
- настроить детекцию изменений в критичных разделах реестра и в планировщике задач Windows (TaskCache) и реагировать на них;
- регулярно проверять доступность и корректность резервных копий, а также процессы их изоляции от основной сети;
- внедрять egress-контроль и анализ аномального исходящего трафика (например, SSH-сессии на неизвестные IP, в том числе 45.135.232.229).
Вывод
Случаи, связанные с DragonForce, демонстрируют типичный для RaaS-экосистемы сценарий: доступность инфраструктуры провайдера усиливает возможности множества филиалов и повышает риск для организаций любого размера. Командам по информационной безопасности важно учитывать комбинированные индикаторы компрометации — от фишинга и brute force до изменений в реестре и скрытой эксфильтрации — и строить защиту, исходя из предпосылки, что атака может проходить по нескольким параллельным вектору.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "DragonForce RaaS — тактика, закрепление и эксфильтрация данных".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.