كشف خبراء الأمن السيبراني عن تفاصيل جديدة حول برمجيات الفدية الخبيثة DragonForce، التي برزت مؤخرًا في مشهد الهجمات الإلكترونية. تستهدف هذه البرمجية، التي تم رصدها لأول مرة في ديسمبر 2023، كلاً من أنظمة ويندوز وبيئات VMware ESXi.
تنتقل هذه المجموعة، التي كانت تعتمد سابقًا على المنتديات، إلى عمليات مبتكرة لتقديم برامج الفدية كخدمة (RaaS)، مسربة بيانات الضحايا على مدونتها الخاصة على الويب المظلم للضغط عليهم. وقد بنيت حمولة DragonForce على أكواد مسربة من LockBit 3.0 و Conti، مع تعديلات لزيادة سرعة التشفير عبر الأقراص المحلية والمشاركة الشبكية.
تحليل معمق لبرمجيات DragonForce
يشير الخبراء إلى أن المهاجمين يستغلون عادةً خوادم سطح المكتب البعيد المكشوفة، ثم يستخدمون أدوات مثل Cobalt Strike و SystemBC للتنقل الجانبي قبل إطلاق برمجية الفدية. تتراوح الآثار ما بين تشفير خوادم الملفات والآلات الافتراضية، وصولاً إلى سرقة البيانات وتهديد بنشرها علنًا.
وقد أجرى محللو S2W تحليلًا لبنية DragonForce المخصصة، التي تعمل على إخفاء السلاسل النصية باستخدام روتين إزالة تعتيم خاص بها، وتعتمد على ChaCha8 و RSA-4096 لتشفير الملفات. تتيح علامات سطر الأوامر للمهاجمين تحديد أوضاع تشغيل متعددة، بما في ذلك التشفير المحلي أو الشبكي أو المختلط، وحتى ضبط نسب التشفير الجزئي لتسريع الهجمات.
وأضاف المحللون أن برمجية DragonForce تعرض سير العمل الداخلي، من فك تشفير التكوين إلى إنهاء العمليات وتشفير الملفات.
فك تشفير الأنظمة المتأثرة
خلال عمليات البحث الأوسع عن التهديدات، تمكن باحثو S2W من الحصول على أداة فك تشفير فعالة لأنظمة ويندوز و ESXi، مما يوفر بعض الضحايا مسارًا للتعافي دون الحاجة لدفع الفدية. تعمل أداة ويندوز على البحث عن الملفات ذات الامتداد .RNP، بينما تبحث نسخة ESXi عن ملفات .RNP_esxi التي تنتهي بقيمة سحرية محددة.
تشمل وظيفة الأداة ربط سلسلة فك التشفير الكاملة، بدءًا من تحميل مفتاح RSA وحتى تحليل البيانات الوصفية واستعادة الملفات. يمنح هذا التحليل التقني الشامل المدافعين رؤى حول أدوات DragonForce وخيارات الاستعادة المتاحة.
سير عمل التشفير وفك التشفير
عند التنفيذ، تقوم برمجية الفدية أولاً بفك تشفير تكوينها الداخلي باستخدام ChaCha8، ثم تقرأ خيارات مثل وضع التشفير ومسار الهدف. من الأوامر الشائعة التي رصدها محللو S2W هو dragonforce.exe -m net -p C:\ -j 8، الذي يوجه البرمجية لاستهداف الأهداف الشبكية في المسار المحدد باستخدام خيوط معالجة متعددة.
أثناء مسح المسارات المحلية والبعيدة، تتجنب DragonForce مناطق النظام الأساسية، ثم تقوم بتشفير الملفات المختارة. بالنسبة لصور الأقراص الافتراضية الكبيرة، تقوم بتشفير أجزاء فقط بدلًا من الملف بأكمله لتوفير الوقت.
في نهاية كل ملف، تقوم بكتابة 534 بايت من البيانات الوصفية تتضمن مفتاح ChaCha8 المشفر بـ RSA و nonces، بالإضافة إلى علامات تخزن الوضع ونسبة التشفير والحجم الأصلي. يتيح هذا الفهم الدقيق لآلية عمل البرمجية تطوير استراتيجيات دفاعية أكثر فعالية.