Війна за територію: DragonForce проти RansomHub у світі програм-вимагачів

Головна — News — Війна за територію: DragonForce проти RansomHub у світі програм-вимагачів

Огляд екосистеми вимагання

Модель вимагання як послуги (RaaS) перетворила кіберзлочинність на професійну індустрію, де оператори пропонують готові інструменти — шкідливі програми, алгоритми шифрування, інфраструктуру командування та контролю (C2) — на темному вебі. Партнери купують або орендують ці ресурси для зламу корпоративних мереж через фішинг, експлойти або скомпрометовані протоколи віддаленого доступу. Потрапивши всередину, зловмисники використовують такі фреймворки, як Cobalt Strike, Mimikatz та Empire, для підвищення своїх привілеїв, переміщення по мережі та ексфільтрації даних через зашифровані канали. На фінальному етапі вони розгортають шифрувальні вантажі — зазвичай AES-256-CBC з RSA-4096 для обгортки ключів — і публікують вкрадені дані на сайтах витоків, тиснучи на жертв, щоб змусити їх сплатити викуп у біткоїнах або анонімних монетах, таких як Monero.

Gemini AI в Android Auto: Посібник із відмови від сторонніх додатків

2025-07-08

Конфлікт між DragonForce та RansomHub

DragonForce, вперше виявлений у серпні 2023 року, та RansomHub, активний з середини 2023 року, нещодавно вступили у боротьбу за територію, що підкреслює безкомпромісний характер картелів вимагання. Обидві групи керують партнерськими порталами RaaS, пропонуючи розподіл прибутків за принципом 70/30 і відбираючи партнерів через запрошення. Напруженість зросла у березні 2025 року, коли DragonForce перетворився на “картель” вимагання, розширивши свій портфель послуг, включивши подвійне вимагання, управління сайтами витоків та додаткові послуги DDoS-вимагання.

Хронологія ключових подій

3 березня 2025 року: DragonForce зламав сайт витоків RansomHub, опублікувавши R.I.P 3/3/25 та оголосивши про ворожий захоплення його серверів, як повідомляє Sophos.

5 березня 2025 року: RansomHub відповів, зламавши приховану Tor-службу DragonForce, назвавши цю групу зрадниками.

Квітень 2025 року: DragonForce нібито націлився на резервні сервери BlackLock і Mamona, інжектуючи шкідливі вантажі, щоб провокувати суперників.

Технічні тактики та вантажі

Початковий доступ: Фішингові електронні листи з шкідливими макросами або експлуатація вразливостей Exchange ProxyShell.

Після експлуатації: Розгортання Cobalt Strike BEACON через HTTPS, збір облікових даних за допомогою Mimikatz та Kerberoasting проти локального Active Directory.

Ексфільтрація даних: Використання RClone для завантаження стиснених архівів у скомпрометовані AWS S3 кошики через захищені протоколи.

Шифрування: Шифрування файлів за допомогою AES-256-CBC та обміну ключами на основі еліптичних кривих (ECDH) для сесійних ключів, після чого слідує обгортка RSA-4096.

Вимагання: Публікація даних на сайтах витоків на базі Tor та використання трійного вимагання, включаючи загрози DDoS та цілеспрямоване доxing.

Наслідки для корпоративних жертв

Експерти попереджають, що цей внутрішній конфлікт може призвести до подвійного вимагання, коли одна жертва піддається вимогам викупу з обох груп. UnitedHealth Group зіткнулася з подібною ситуацією у 2024 році через конфлікт між постачальниками RaaS, що призвело до спроб вимагання на суму понад 22 мільйони доларів.

Глобальні витрати на кіберзлочинність, за прогнозами, досягнуть 10 трильйонів доларів до 2025 року, зростаючи з 3 трильйонів у 2015 році, що зумовлено зростанням професіоналізації пропозицій RaaS та партнерських мереж.

Samsung та Epic Games досягли миру у справі про магазин додатків

2025-07-07

Стратегії реагування на інциденти та пом’якшення наслідків

Команди безпеки повинні адаптуватися до цієї нестабільної ситуації, впроваджуючи надійні заходи захисту:

Виявлення та реагування на кінцевих точках: Впровадження рішень EDR з аналітикою поведінки для виявлення аномальних ін’єкцій процесів та переміщення по мережі.

Сегментація мережі: Ізоляція критичних активів за допомогою мікросегментації та контролю доступу на основі нульового довіри.

Багаторівнева аутентифікація: Впровадження MFA для всіх віддалених доступів та привілейованих облікових записів для зменшення ризику повторного використання облікових даних.

Полювання на загрози: Проактивне сканування журналів на предмет ознак компрометації, таких як маячки Cobalt Strike або аномальний трафік RClone.

Резервне копіювання та відновлення даних: Підтримка офлайн, незмінних резервних копій та регулярне тестування процесів відновлення.

Майбутні тенденції в еволюції програм-вимагателів

Аналітики прогнозують кілька розробок, оскільки картелі RaaS борються за домінування:

Шкідливі вантажі на основі ШІ: Використання машинного навчання для динамічних схем шифрування та ухилення від антивірусів, що базуються на сигнатурах.

Автоматизовані боти для переговорів: Чат-боти, які ведуть переговори про умови викупу в реальному часі на сайтах витоків.

Шифрування, стійке до квантових атак: Раннє впровадження алгоритмів постквантового шифрування для протидії майбутнім спробам розшифрування з боку правоохоронних органів.

Атаки на ланцюги постачання: Зростання цілеспрямованих атак на постачальників хмарних послуг для максимізації охоплення партнерів.

Fubo вирішив спір на $3,4 млн через обмін даними, підкреслюючи ризики конфіденційності

2025-07-07

Висновок

Проксі-війна між DragonForce та RansomHub підкреслює хаотичний, прибутковий характер сучасної кіберзлочинності. Організаціям слід посилити захист, впровадити принципи нульової довіри та підготуватися до зростаючого ризику багатостороннього вимагання.