นักวิจัยเผยรายละเอียดแรนซัมแวร์ DragonForce พร้อมเครื่องมือถอดรหัสสำหรับระบบ ESXi และ Windows

DragonForce คือแรนซัมแวร์รูปแบบ RaaS (Ransomware-as-a-Service) ล่าสุดที่มุ่งเป้าโจมตีทั้งระบบ Windows และ VMware ESXi โดยใช้โค้ดที่หลุดออกมาจาก LockBit 3.0 และ Conti ถูกพบครั้งแรกในเดือนธันวาคม 2023 บน BreachForums กลุ่มนี้ใช้การโฆษณาข้อมูลที่ถูกขโมยและบล็อกบน Dark Web เพื่อกดดันเหยื่อ นักวิเคราะห์จาก S2W ได้วิเคราะห์การทำงานของ DragonForce อย่างละเอียด พบว่ามีการใช้ ChaCha8 และ RSA-4096 ในการเข้ารหัสไฟล์ และที่สำคัญคือพวกเขาได้เครื่องมือถอดรหัสที่ใช้งานได้จริงสำหรับทั้งสองแพลตฟอร์ม ทำให้เหยื่อบางรายสามารถกู้คืนข้อมูลได้โดยไม่ต้องจ่ายค่าไถ่.

Severity: สูง

System Impact:

• ระบบ Windows
• สภาพแวดล้อม VMware ESXi
• เซิร์ฟเวอร์ไฟล์ที่ถูกเข้ารหัส
• เครื่องเสมือน (Virtual Machines)
• ข้อมูลที่ถูกขโมย

Technical Attack Steps:

1. **การเข้าถึงเบื้องต้น**: ผู้โจมตีมักเข้าถึงผ่านเซิร์ฟเวอร์ Remote Desktop (RDP) ที่เปิดเผยสู่สาธารณะ
2. **การเคลื่อนย้ายภายใน**: ใช้เครื่องมือเช่น Cobalt Strike และ SystemBC เพื่อเคลื่อนย้ายภายในเครือข่ายของเหยื่อ
3. **การปรับใช้แรนซัมแวร์**: ปรับใช้เพย์โหลด DragonForce ซึ่งสร้างจากโค้ดของ LockBit 3.0 และ Conti ที่รั่วไหล
4. **การกำหนดค่า**: แรนซัมแวร์จะถอดรหัสการกำหนดค่าภายในโดยใช้ ChaCha8 และอ่านตัวเลือกการเข้ารหัส เช่น โหมดและเส้นทางเป้าหมาย (ตัวอย่างคำสั่ง: `dragonforce.exe -m net -p C:\ -j 8`)
5. **การเข้ารหัสไฟล์**: สแกนเส้นทางทั้งในเครื่องและระยะไกล ข้ามพื้นที่ระบบหลัก และเข้ารหัสไฟล์ที่เลือก สำหรับอิมเมจดิสก์เสมือนขนาดใหญ่ จะเข้ารหัสเพียงบางส่วนเพื่อประหยัดเวลา
6. **การเขียนเมตาดาต้า**: เขียนเมตาดาต้าขนาด 534 ไบต์ที่ส่วนท้ายของแต่ละไฟล์ ซึ่งประกอบด้วยคีย์ ChaCha8 ที่เข้ารหัสด้วย RSA, nonce และแฟล็กที่จัดเก็บโหมด, อัตราส่วน และขนาดไฟล์ต้นฉบับ
7. **การกดดันเหยื่อ**: ใช้บล็อกบน Dark Web เพื่อเปิดเผยข้อมูลที่ถูกขโมยและกดดันให้เหยื่อจ่ายค่าไถ่ (DLS – Data Leak Site)

Recommendations:

Short Term:

• ตรวจสอบและรักษาความปลอดภัยของพอร์ต Remote Desktop (RDP) ที่เปิดเผยสู่สาธารณะอย่างเร่งด่วน เพื่อป้องกันการเข้าถึงเบื้องต้น
• หากตกเป็นเหยื่อ ให้พิจารณาใช้เครื่องมือถอดรหัส DragonForce ที่ S2W ค้นพบสำหรับระบบ Windows (.RNP) และ ESXi (.RNP_esxi) เพื่อกู้คืนข้อมูล

Long Term:

• ใช้กลยุทธ์การป้องกันเชิงลึก (Defense-in-Depth) เพื่อปกป้องระบบจากปฏิบัติการ Ransomware-as-a-Service (RaaS) ที่ซับซ้อน
• ปรับปรุงการเฝ้าระวังเครือข่ายและการตรวจจับภัยคุกคามเพื่อระบุและตอบสนองต่อการใช้เครื่องมือเคลื่อนย้ายภายใน เช่น Cobalt Strike และ SystemBC ได้อย่างรวดเร็ว
• รักษากระบวนการสำรองข้อมูลและกู้คืนที่มีประสิทธิภาพและเป็นประจำ เพื่อให้มั่นใจว่าสามารถกู้คืนข้อมูลสำคัญได้หากถูกโจมตี
• ให้การฝึกอบรมสร้างความตระหนักด้านความปลอดภัยทางไซเบอร์แก่ผู้ใช้และบุคลากรอย่างสม่ำเสมอ เพื่อลดความเสี่ยงจากการโจมตีทางสังคม
• อัปเดตระบบปฏิบัติการ ซอฟต์แวร์ และแพตช์ความปลอดภัยทั้งหมดให้เป็นปัจจุบันอยู่เสมอเพื่อลดช่องโหว่ที่อาจถูกใช้โจมตี

Source: https://cybersecuritynews.com/researchers-breakdown-dragonforce-ransomware/