El ransomware DragonForce está expandiendo las operaciones de RaaS y representa una amenaza global de ciberseguridad para las empresas. Las empresas deben implementar sólidas estrategias de ciberseguridad para protegerse de este creciente ataque de ransomware y evitar convertirse en víctimas.
Los ataques de ransomware van en aumento, lo que deja a las organizaciones vulnerables a amenazas nuevas y más avanzadas. Es probable que los incidentes de ransomware sean aún más dañinos en 2024, según el informe Tech Crime Trends 2023/2024 de Group-IB.
Una de las nuevas amenazas más importantes es aprovechar los programas afiliados de Ransomware-as-a-Service (RaaS) y utilizar variantes de familias de ransomware conocidas para causar estragos en industrias específicas. Es causada por el grupo de ransomware DragonForce.
DragonForce: doble amenaza de ransomware
El grupo de ransomware DragonForce surgió en agosto de 2023 e implementó una variante basada en la famosa variedad de ransomware LockBit 3.0. Sin embargo, en julio de 2024, el grupo introdujo una segunda variante. Aunque inicialmente afirmó ser su propia creación, más tarde se reveló que era una bifurcación del ransomware ContiV3. Estas versiones duales de ransomware se utilizan para explotar vulnerabilidades en empresas, especialmente en sectores como la manufactura, el sector inmobiliario y el transporte.
Captura de pantalla de la versión LockBit del ransomware DragonForce
La estrategia de ataque de DragonForce gira en torno a una doble amenaza: cifrar datos y amenazar con filtrarlos a menos que se pague un rescate. Esto obliga a las víctimas a cumplir, por temor no sólo a la interrupción del negocio sino también al daño a la reputación que podría resultar de la filtración de información confidencial.
Tácticas avanzadas para un daño máximo
Las actividades del grupo de ransomware DragonForce son altamente personalizables, lo que permite a los actores configurar ataques según el tipo de víctima, según un estudio de Group-IB compartido con Hackread.com antes de la publicación del miércoles.
DragonForce ransomware ofrece a los atacantes la posibilidad de personalizar las cargas útiles del ransomware a través de un programa de afiliados de RaaS lanzado el 26 de junio de 2024. Los afiliados pueden desactivar funciones de seguridad, establecer parámetros de cifrado y personalizar los mensajes de demanda de rescate. A cambio, los afiliados reciben el 80% del dinero del rescate recaudado.
DragonForce utiliza una variedad de técnicas avanzadas para garantizar la evasión y la perseverancia. Una de las tácticas principales es “Traiga su propio controlador vulnerable (BYOVD)”, donde los atacantes utilizan controladores vulnerables para desactivar los procesos de seguridad y evitar la detección. Además, borra los registros de eventos de Windows después del cifrado para frustrar las investigaciones forenses.
Para movimiento lateral, utilice herramientas como Cobalt Strike o SystemBC. Estas herramientas recopilan credenciales y le permiten permanecer dentro de la red. También utilizan una herramienta de escaneo de red, SoftPerfect Network Scanner, para mapear la red y propagar el ransomware a tantos dispositivos como sea posible.
Ataques dirigidos e impacto global
Entre agosto de 2023 y agosto de 2024, DragonForce enumeró 82 víctimas en su sitio de filtración en la web oscura. La mayoría de los ataques se concentraron en Estados Unidos (52,4%), seguido del Reino Unido y Australia. La manufactura es la industria más atacada, seguida por la inmobiliaria y el transporte.
Además del uso de las variantes ContiV3 y LockBit, la capacidad de DragonForce para adaptarse a las nuevas demandas de los afiliados lo convierte en una amenaza en rápido crecimiento. Al apuntar a empresas con altos beneficios y sectores críticos, DragonForce continúa consolidando su presencia en la infraestructura del cibercrimen.
¿Qué pueden hacer las empresas?
Para combatir estos ataques sofisticados, las empresas deben adoptar medidas de seguridad más proactivas y por niveles. Los pasos importantes son:
Autenticación multifactor (MFA): agregar una capa de autenticación dificulta que los atacantes comprometan sus credenciales. Detección temprana: utilice herramientas de detección de comportamiento, como la detección y respuesta de puntos finales (EDR), para identificar actividades sospechosas de manera temprana. Estrategia de copia de seguridad: las copias de seguridad periódicas reducen el impacto del ransomware al garantizar que pueda recuperar sus datos sin pagar un rescate. Corrección de vulnerabilidades: evite que el ransomware explote sistemas más antiguos solucionando periódicamente las vulnerabilidades conocidas. Capacitación de los empleados: capacitar a sus empleados para que reconozcan el phishing y otras tácticas maliciosas puede ayudar a prevenir intrusiones iniciales. Evite pagar rescates: el pago de rescates a menudo aumenta los ataques porque indica vulnerabilidad ante otros ciberdelincuentes.
A medida que el ransomware DragonForce crece en las operaciones RaaS, las empresas deben permanecer alerta e implementar estrategias de ciberseguridad adecuadas para evitar ser víctimas de esta y otras amenazas peligrosas.
Temas relacionados
Nuevo ransomware Kransom disfrazado de juego Se pagó un rescate de 75 millones de dólares por el ransomware Dark Angels Variante de ransomware Group Play dirigida a entornos Linux ESXi Plataforma en la nube PythonAnywhere explotada para alojar ransomware Actualizaciones de ransomware Qilin y ahora roba credenciales de Google Chrome
DragonForce Ransomware Expands RaaS, Targets Firms Worldwide
