DragonForce Ransomware: Phân tích Sâu về Kẻ Đe Dọa RaaS Mới Nổi
DragonForce Ransomware đã nổi lên như một tác nhân đáng gờm trong bối cảnh Ransomware-as-a-Service (RaaS) kể từ khi ra mắt vào tháng 12 năm 2023. Ban đầu, nhóm này tập trung vào các cuộc tấn công mạng mang động cơ ý thức hệ, nhưng sau đó đã chuyển hướng sang các hoạt động vì lợi ích tài chính, tự khẳng định vị thế là một tác nhân đe dọa trọng yếu nhắm vào các ngành công nghiệp có giá trị cao trên khắp Bắc Mỹ, Châu Âu và Châu Á.
Điểm khác biệt của DragonForce nằm ở cơ sở hạ tầng RaaS tinh vi, cung cấp cho các đối tác một bộ công cụ mô-đun để tạo ra các payload ransomware tùy chỉnh cao. Bộ công cụ này, với tính năng xây dựng payload có thể tùy chỉnh, cho phép các tác nhân đe dọa điều chỉnh các mô-đun mã hóa, ghi chú tống tiền và hành vi di chuyển ngang (lateral movement) phù hợp với từng môi trường mục tiêu cụ thể, từ đó gia tăng độ chính xác và tác động của các chiến dịch của chúng. Kết hợp với các kỹ thuật mã hóa được tối ưu hóa để ẩn mình, được thiết kế để né tránh các hệ thống Endpoint Detection and Response (EDR), phần mềm độc hại của DragonForce đặt ra một thách thức đáng kể đối với các biện pháp phòng thủ an ninh mạng truyền thống.
Kỹ thuật và Chiến thuật Hoạt động (TTPs)
Năng lực kỹ thuật của DragonForce được thể hiện rõ qua việc áp dụng các công cụ và chiến thuật tiên tiến. Chúng bao gồm việc tái sử dụng trình tạo (builder) của LockBit 3.0 bị rò rỉ vào năm 2022 bởi một nhà phát triển bất mãn, và một phiên bản tùy chỉnh (customized fork) của Conti ransomware. Các biến thể này tích hợp các quy trình mã hóa phức tạp, cơ chế chống phân tích để ngăn chặn việc phát hiện bằng pháp y số (forensic) và sandbox, cùng với khả năng vô hiệu hóa các biện pháp bảo vệ EDR/XDR bằng các kỹ thuật Bring Your Own Vulnerable Driver (BYOVD).
Mô hình Tống tiền Kép
Mô hình tống tiền kép của nhóm tiếp tục làm tăng mức độ đe dọa, khi các đối tác không chỉ mã hóa hệ thống của nạn nhân mà còn trích xuất dữ liệu nhạy cảm, đe dọa rò rỉ công khai thông qua cổng thông tin trên dark web “DragonLeaks” nếu tiền chuộc không được thanh toán.
Kênh Truy cập Ban đầu và Di chuyển Nội bộ
Quyền truy cập ban đầu thường được giành được thông qua nhiều phương pháp khác nhau, bao gồm:
- Phishing (lừa đảo trực tuyến).
- Khai thác các lỗ hổng đã biết như Log4Shell (CVE-2021-44228).
- Các cuộc tấn công brute-force vào các dịch vụ RDP và VPN.
- Sử dụng thông tin đăng nhập bị đánh cắp từ các vụ vi phạm trước đó.
Sau khi khai thác thành công (post-exploitation), các đối tác của DragonForce sử dụng các công cụ như Cobalt Strike để di chuyển ngang trong mạng (lateral movement), Mimikatz để thu thập thông tin đăng nhập, và SystemBC để duy trì quyền kiểm soát và chỉ huy (C2) thông qua tunneling được mã hóa, đảm bảo quyền truy cập liên tục trong các chiến dịch kéo dài.
Mục tiêu Chiến lược và Nền tảng Liên kết
Về mặt chiến lược, DragonForce ưu tiên nhắm mục tiêu vào các lĩnh vực nhạy cảm với sự gián đoạn như sản xuất, công nghệ và cơ sở hạ tầng, nơi thời gian ngừng hoạt động trực tiếp chuyển thành đòn bẩy tài chính, khiến khả năng thanh toán tiền chuộc cao hơn. Nền tảng liên kết của chúng, có thể truy cập qua các bảng điều khiển dựa trên .onion độc đáo, hợp lý hóa các hoạt động với các tính năng như theo dõi doanh thu, tùy chỉnh payload và quản lý nạn nhân, phản ánh trải nghiệm giống như SaaS cho các tội phạm mạng.
Vị thế trong Hệ sinh thái Tội phạm Mạng
Ngoài khả năng kỹ thuật, DragonForce cũng đã tạo ra sóng gió trong các cuộc chiến tranh giành lãnh địa RaaS, đáng chú ý là đã tận dụng sự sụp đổ đột ngột của trang rò rỉ dữ liệu của đối thủ RansomHub vào ngày 1 tháng 4 năm 2025, với một “lời mời” chế giễu để tham gia cơ sở hạ tầng của chúng. Kịch tính sau đó, bao gồm các vụ phá hoại trả đũa và cáo buộc phá hoại nội bộ, nhấn mạnh sự leo thang thù địch trong hệ sinh thái tội phạm mạng.
Khi DragonForce tạm thời ngừng tiếp nhận các đối tác mới với lý do “các sự kiện gần đây”, các suy đoán đã nổ ra – một số cho rằng đó là sự đổi tên từ RansomHub, trong khi những người khác chỉ ra một sự cạnh tranh sâu sắc hơn. Bất kể lý do là gì, sự kết hợp giữa sự tinh vi giống như APT và các hoạt động RaaS chuyên nghiệp của DragonForce đánh dấu nó là một mối đe dọa ưu tiên.
Biện pháp Phòng thủ và Giảm thiểu Rủi ro
Để chống lại mối đe dọa đang phát triển này, các tổ chức cần thực hiện các biện pháp phòng thủ chủ động:
- Tăng cường các điểm phơi nhiễm bên ngoài: Áp dụng các biện pháp bảo mật mạnh mẽ cho các dịch vụ hướng ra internet, bao gồm quản lý bản vá lỗi định kỳ, sử dụng xác thực đa yếu tố (MFA) và kiểm tra thâm nhập thường xuyên.
- Giám sát các chiến thuật, kỹ thuật và quy trình (TTPs) đã biết: Sử dụng các khuôn khổ như MITRE ATT&CK để hiểu rõ các TTPs của DragonForce và các tác nhân ransomware khác. Triển khai các giải pháp giám sát có khả năng phát hiện các hành vi bất thường phù hợp với các TTPs này.
- Triển khai các biện pháp phòng thủ hành vi: Ngoài các giải pháp dựa trên chữ ký, hãy triển khai các công nghệ bảo mật dựa trên hành vi (ví dụ: EDR, XDR) có khả năng phát hiện các hoạt động đáng ngờ, ngay cả khi payload ransomware chưa được biết đến. Điều này bao gồm phát hiện các nỗ lực vô hiệu hóa giải pháp bảo mật hoặc các hành vi liên quan đến BYOVD.
Với tầm vóc toàn cầu và sự đổi mới không ngừng, DragonForce Ransomware đang định hình lại bối cảnh đe dọa ransomware, đòi hỏi sự chú ý khẩn cấp từ các nhà bảo vệ an ninh mạng trên toàn thế giới.
