DragonForce opera un modelo RaaS para el despliegue de su ransomware personalizado. Utiliza exploits de vulnerabilidades de acceso remoto para intrusión inicial. El grupo exfiltra datos confidenciales antes de cifrar los sistemas. Despliega cifradores especializados para entornos Windows y ESXi. Elimina las copias de seguridad para dificultar la recuperación de la víctima.
Cronología y evolución
-
Principios de 2022: El grupo DragonForce surge con un enfoque en la explotación de vulnerabilidades de acceso remoto. Esto les permitió comprometer redes corporativas mediante puntos de entrada conocidos, lo que resultó en un aumento inicial de las intrusiones exitosas.
-
Mediados de 2023: DragonForce comenzó a incorporar módulos de cifrado específicos para entornos VMware ESXi. Esta evolución les permitió paralizar infraestructuras de virtualización críticas, aumentando el impacto de sus ataques de ransomware y presionando a las víctimas para el pago.
-
Finales de 2023: El grupo lanzó su propio sitio de filtraciones, ‘DragonForceLeaks’, para extorsión de doble capa. La creación del sitio les proporcionó una plataforma dedicada para publicar datos robados, intensificando la presión sobre las víctimas que se negaban a pagar el rescate.
-
Principios de 2024: Se observó a DragonForce utilizando credenciales de brokers de acceso inicial (IABs). Esta táctica diversificó sus vectores de acceso, permitiendo una escalada más rápida y eludir las defensas de perímetro tradicionales.
Resumen del ataque
| Fase | Descripción |
|---|---|
| Acceso inicial | Obtiene acceso inicial explotando vulnerabilidades en dispositivos de borde como Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887). |
| Acceso a credenciales | El grupo utiliza Mimikatz para volcar credenciales de LSASS y SAM de sistemas comprometidos. También buscan credenciales en archivos de configuración de navegadores y bases de datos locales. |
| Persistencia y evasión | Crea nuevas tareas programadas a través de schtasks.exe para ejecutar binarios maliciosos periódicamente. |
| Movimiento lateral | El movimiento lateral se logra mediante PsExec para ejecutar cargas útiles en sistemas remotos. También abusan de RDP para acceder a otras máquinas usando credenciales robadas. |
| Exfiltración | La exfiltración de datos se realiza utilizando Rclone para cargar grandes volúmenes a servicios en la nube como MEGA o S3. |
| Cifrado | El ransomware DragonForce utiliza un esquema de cifrado híbrido AES-256 y RSA-4096. |
| Impacto y destrucción | Deshabilita las copias de volumen en la sombra con vssadmin delete shadows /all /quiet. Elimina las copias de seguridad de Veeam y los archivos de respaldo directamente desde los servidores. |
Acceso inicial
Obtiene acceso inicial explotando vulnerabilidades en dispositivos de borde como Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887). También utiliza la explotación de Atlassian Confluence (CVE-2023-22515) para establecer un punto de apoyo. La pulverización de contraseñas contra servicios RDP expuestos y VPN obsoletas es un vector común.
Acceso a credenciales
El abuso de la línea de comandos con PowerShell facilita la recopilación de credenciales.
Persistencia y evasión
Crea nuevas tareas programadas a través de schtasks.exe para ejecutar binarios maliciosos periódicamente. Modifica claves del registro para mantener la ejecución de cargas útiles en el inicio del sistema. Puede crear nuevas cuentas de usuario con privilegios administrativos locales.
Movimiento lateral
El acceso SSH a hosts ESXi es común para el despliegue del cifrador de virtualización.
Exfiltración
DragonForce realiza la exfiltración de datos utilizando Rclone para cargar grandes volúmenes a servicios en la nube como MEGA o S3. También pueden emplear WinSCP o FileZilla para transferencias a servidores controlados por el atacante. Los datos se comprimen con 7-Zip antes de la exfiltración.
Cifrado
El cifrador de DragonForce implementa un modelo de cifrado híbrido multihilo para maximizar la velocidad de impacto, protegiendo los datos mediante algoritmos simétricos como AES-256 o ChaCha20, mientras que el intercambio de claves se resguarda con RSA-2048 o RSA-4096. Dependiendo de la variante (Windows, Linux o VMware ESXi), el malware emplea modos de cifrado parcial u optimizado con protección contra interrupciones en el flujo de archivos.
Los archivos se cifran individualmente con una clave AES efímera, que luego se cifra con la clave pública RSA del atacante. El cifrador apunta a la mayoría de los archivos de usuario y del sistema, excepto los críticos para el arranque.
Impacto y destrucción
Deshabilita las copias de volumen en la sombra con vssadmin delete shadows /all /quiet. Elimina las copias de seguridad de Veeam y los archivos de respaldo directamente desde los servidores. Desactiva la recuperación de arranque con bcdedit /set {default} recoveryenabled No para impedir la restauración del sistema.
Víctimas y geografía
Las víctimas de DragonForce se concentran predominantemente en América del Norte y Europa occidental. Se han observado ataques en Estados Unidos, Canadá, Reino Unido, Alemania y Francia. El grupo elige objetivos en función de su viabilidad financiera y la criticidad de sus operaciones.
Fuentes
- BleepingComputer: Ransomware Group Adopts New Tactics
- SentinelOne Labs: Ransomware Attack Trends
- Unit 42: Ransomware Threat Report
- CISA: Ivanti Connect Secure Vulnerabilities Alert
- CrowdStrike Blog: 2024 Global Threat Report
Sectores Objetivo
Sectores de actividad en los que el grupo DragonForce ha concentrado sus ataques.
Buscan planos de diseño, secretos comerciales y datos de producción para extorsión. Interrumpen operaciones para forzar el pago, afectando la cadena de suministro.
Objetivo de datos de pacientes (PHI) e interrupción de servicios vitales para maximizar la presión. El acceso a los registros médicos es altamente sensible y lucrativo.
Roban datos financieros, información de clientes y propiedad intelectual para doble extorsión. El impacto reputacional es un factor clave de su estrategia.
Comprometen agencias gubernamentales para acceder a datos sensibles y causar interrupción en servicios públicos. El objetivo puede ser tanto financiero como geopolítico.
Atacan servicios esenciales para causar interrupciones generalizadas y presionar por pagos elevados. La interrupción de servicios como energía o agua es muy efectiva.
Detection & Response Rules
Reglas listas para importar en SentinelOne XDR. Contacta con nosotros para acceso completo al repositorio actualizado.
Detecta la ejecución de herramientas como Mimikatz volcando LSASS o el acceso a su memoria. La regla identifica procesos con patrones de acceso a lsass.exe y operaciones de lectura de memoria.
event.type = 'Process Creation' AND tgt.process.name = 'lsass.exe' AND DllLoad contains:anycase ('dbghelp.dll', 'secur32.dll') OR (event.type = 'Process Access' AND DstProcName = 'lsass.exe' AND AccessMode = 'Read')Identifica la ejecución de 'vssadmin.exe' con argumentos para eliminar copias de volumen en la sombra. Esto indica un intento de prevenir la recuperación de datos por parte de la víctima.
event.type = 'Process Creation' AND tgt.process.name = 'vssadmin.exe' AND tgt.process.cmdline contains:anycase 'delete shadows /all /quiet'Detecta la ejecución del binario 'rclone.exe' con parámetros asociados a la sincronización o copia de datos a destinos remotos. La regla busca patrones de uso de servicios en la nube.
event.type = 'Process Creation' AND tgt.process.name = 'rclone.exe' AND tgt.process.cmdline contains:anycase ('sync', 'copy', 'drive', 'mega', 's3')Identifica la creación de nuevas tareas programadas con nombres o acciones inusuales. Las tareas pueden ser para persistencia del ransomware o herramientas de acceso remoto.
event.type = 'Registry Key Create' AND registry.keyPath contains:anycase '\Tasks\' AND ProcessName = 'schtasks.exe' AND registry.keyPath DoesNotContain 'Microsoft\Windows'Detecta intentos de conexión RDP a sistemas internos desde direcciones IP externas inusuales. Esto puede indicar compromiso inicial a través de RDP expuesto.
event.type = 'Network Connection' AND event.url.action = 'Accepted' AND TgtPort = 3389 AND dst.ip.address IsExternal AND dst.ip.address NotIn ('Trusted_IPs_List')Detecta comandos de PowerShell o registro para deshabilitar componentes de Microsoft Defender. Los atacantes intentan neutralizar las defensas del endpoint antes del cifrado.
event.type = 'Process Creation' AND tgt.process.name = 'powershell.exe' AND tgt.process.cmdline contains:anycase ('Set-MpPreference', 'DisableAntiSpyware', 'DisableRealtimeMonitoring', 'Add-MpPreference -ExclusionPath') OR (event.type = 'Registry Key Set' AND registry.keyPath contains:anycase 'SOFTWARE\Policies\Microsoft\Windows Defender' AND RegistryKeyName contains:anycase 'DisableAntiSpyware')