Los investigadores dijeron el miércoles que un grupo de delitos cibernéticos conocido como Dragon Force está utilizando versiones modificadas de dos notorias variantes de ransomware para atacar las industrias manufacturera, inmobiliaria y de transporte en todo el mundo.
El conjunto de herramientas del grupo criminal incluye malware basado en el ransomware LockBit filtrado, así como variantes personalizadas de Conti con funciones avanzadas.
Los investigadores de la firma de ciberseguridad Group IB, con sede en Singapur, dicen que la introducción de estas herramientas maliciosas “no es sorprendente”. Los operadores de ransomware modernos están “reutilizando y modificando cada vez más creadores filtrados de familias de ransomware conocidas para personalizarlos y adaptarlos a sus necesidades”. Las familias modificadas comunes incluyen Conti, Babuk y Rockvit.
Group-IB ha confirmado que DragonForce ha apuntado a 82 víctimas durante el año pasado. La mayoría estaban en Estados Unidos, seguidos por el Reino Unido y Australia.
DragonForce opera como un servicio de ransomware y, según las publicaciones del grupo en la web oscura, selecciona cuidadosamente a sus afiliados, favoreciendo a los ciberdelincuentes experimentados que se centran en objetivos de alto valor. Los afiliados de DragonForce reciben el 80% del dinero del rescate. El grupo permite personalizar herramientas para ataques específicos, como configurar parámetros de cifrado y personalizar notas de rescate.
Además de cifrar los datos de los servidores de la organización, los operadores de DragonForce utilizan una doble técnica de extorsión: roban los datos confidenciales de las víctimas y amenazan con divulgarlos. Luego exige el pago de un rescate a cambio de una herramienta de descifrado y una “promesa” de no revelar los datos robados.
Group-IB dijo que este enfoque ejercería “una presión significativa” sobre las víctimas para que cumplan con las demandas del atacante. Si los datos de las víctimas se hicieran públicos, podrían causar daños a la reputación, la privacidad y la continuidad del negocio.
Además de los constructores LockBit 3.0 y Conti filtrados, DragonForce también utiliza otras herramientas en sus ataques. Esto incluye la puerta trasera SystemBC para persistencia, Mimikatz y Cobalt Strike para recopilación de credenciales y Cobalt Strike para movimiento lateral.
Los investigadores llaman a Dragon Force un “enemigo formidable” porque apunta a industrias clave y emplea herramientas y tácticas sofisticadas. El grupo ha atacado anteriormente al fabricante de bebidas lácteas probióticas Yakult Australia, a la Lotería de Ohio y al gobierno de Palau, entre otros.
El Grupo IB no atribuyó el ataque a ningún país o individuo en particular. Anteriormente, los investigadores habían sugerido que el grupo podría tener su sede en Malasia.
Para más información
futuro grabado
nube de inteligencia.
aprender más.
https://therecord.media/lockbit-conti-dragonforce-ransomware-cybercrime
