برزت مجموعة DragonForce ككيان قوي في مشهد الجريمة السيبرانية، حيث نشطت منذ ديسمبر 2023. تعمل المجموعة في إطار نموذج Ransomware-as-a-Service (RaaS) المتطور، وتُعرف نفسها بقوة بأنها “كارتل” لتعزيز قوتها ونفوذها، مما يجذب شبكة واسعة من المنتسبين. وقد شهدت صعودًا ملحوظًا مع تطور تكتيكاتها المستمر، لتصبح تهديدًا مستمرًا للمنظمات عالميًا.
تستخدم DragonForce لتعزيز عملياتها منتديات مظلمة بارزة مثل BreachForums و RAMP و Exploit للتجنيد والترويج. تميز نفسها بتقديم أدوات فريدة مثل “RansomBay” لتسهيل إنشاء حمولات مخصصة، وخدمات مضايقة هاتفية متخصصة لزيادة الضغط على الضحايا. تم تصميم هذه الوسائل لتعظيم التأثير النفسي والمالي على الكيانات المستهدفة، مما يضمن معدلات نجاح أعلى في الحصول على مدفوعات الفدية.
توسّع عمليات DragonForce وعدد الشركات المستهدفة
بعد ظهورها الأولي، حدد محللو S2W أن المجموعة استهدفت 363 شركة بين ديسمبر 2023 ويناير 2026. وقد أظهرت وتيرة هذه الهجمات اتجاهًا صعوديًا ثابتًا، حيث بلغت ذروتها في ديسمبر 2025 مع نشر 35 ضحية في شهر واحد، مما يعكس قدرة المجموعة المتزايدة على توسيع نطاق هجماتها ضد مجموعة أوسع من الصناعات.
علاوة على الهجمات القياسية، انخرطت DragonForce بنشاط في علاقات عدائية مع مجموعات برامج الفدية المنافسة، حيث شنّت أحيانًا هجمات على مستوى البنية التحتية ضد المنافسين. وبالمقابل، سعت أيضًا إلى إقامة تحالفات لتعزيز موقعها في النظام البيئي. تُظهر هذه الشبكة المعقدة من التفاعلات طموحها ليس فقط للمشاركة في السوق، بل للهيمنة على اقتصاد RaaS من خلال التعاون والصراع.
التحليل الفني لبرامج DragonForce الخبيثة لنظام ويندوز
كشفت التقييمات الفنية الأخيرة لبرامج DragonForce الخبيثة لنظام ويندوز أن الروتينات الأساسية للتشفير وطرق إنهاء العمليات تظل متسقة، ولكن تم إدخال تحديثات هيكلية كبيرة. تستمر برامج الفدية في استخدام تقنية Bring Your Own Vulnerable Driver (BYOVD) لتحييد العمليات الأمنية، مما يضمن نجاح التشفير.
ومع ذلك، فقد خضع هيكل البيانات الوصفية الملحقة بالملفات المشفرة للتعديل. تم توسيع حقل “Encryption Ratio” من بايت واحد إلى أربعة بايتات، مما زاد حجم البيانات الوصفية الإجمالي إلى 537 بايت. تتضمن أحدث نسخة من المنشئ أيضًا ميزة تجريبية تسمى “encryption_rules”، والتي تسمح للمشغلين بتجاوز أوضاع التشفير لملحقات ملفات معينة.
إذا لم يتم تحديد قاعدة محددة، فإن البرامج الضارة تطبق التشفير الكامل أو الجزئي أو التشفير المستند إلى الرأس بناءً على حجم الملف. عند التنفيذ، تقوم برامج الفدية بفك تشفير تكوينها المضمن باستخدام خوارزمية ChaCha8 قبل بدء هذه الإجراءات. يمنح هذا الخيار التكويني الجديد المهاجمين سيطرة دقيقة على كيفية تأثير أنواع البيانات المختلفة، مما يحسن سرعة وشدة عملية التشفير بناءً على بيئة الضحية.