กลุ่มแรนซัมแวร์ DragonForce ขยายอิทธิพลด้วยปฏิบัติการแบบองค์กรอาชญากรรม และมุ่งเป้า 363 บริษัทตั้งแต่ปี 2023

กลุ่มแรนซัมแวร์ DragonForce ซึ่งเริ่มดำเนินการตั้งแต่เดือนธันวาคม 2023 ได้สร้างชื่อเสียงในฐานะองค์กรอาชญากรรมไซเบอร์ที่น่าเกรงขาม โดยใช้โมเดล Ransomware-as-a-Service (RaaS) ที่ซับซ้อนและโปรโมตตัวเองในลักษณะ ‘องค์กรอาชญากรรม’ เพื่อดึงดูดเครือข่ายพันธมิตรที่กว้างขวาง พวกเขามีการใช้เครื่องมือเฉพาะอย่าง ‘RansomBay’ สำหรับสร้างเพย์โหลดที่ปรับแต่งได้ และบริการโทรศัพท์คุกคามเหยื่อเพื่อเพิ่มแรงกดดันในการจ่ายค่าไถ่ ตั้งแต่เดือนธันวาคม 2023 ถึงมกราคม 2026 DragonForce ได้โจมตีบริษัทไปแล้ว 363 แห่ง โดยสูงสุดในเดือนธันวาคม 2025 ด้วย 35 เหยื่อในเดือนเดียว นอกจากนี้พวกเขายังมีส่วนร่วมในการโจมตีโครงสร้างพื้นฐานของกลุ่มแรนซัมแวร์คู่แข่ง และสร้างพันธมิตรเพื่อเสริมสร้างตำแหน่งในระบบนิเวศ RaaS การวิเคราะห์ทางเทคนิคของไบนารีบน Windows เผยให้เห็นการใช้เทคนิค Bring Your Own Vulnerable Driver (BYOVD) เพื่อปิดกระบวนการรักษาความปลอดภัย รวมถึงการอัปเดตโครงสร้างเมตาดาต้าและคุณสมบัติ ‘encryption_rules’ แบบเบต้าเพื่อควบคุมการเข้ารหัสไฟล์อย่างแม่นยำยิ่งขึ้น.

Severity: สูง

System Impact:

• ระบบปฏิบัติการ Windows
• องค์กรทั่วโลก
• อุตสาหกรรมหลากหลาย (ไม่ระบุเจาะจง)

Technical Attack Steps:

1. กลุ่ม DragonForce ใช้โมเดล RaaS เพื่อดำเนินงาน โดยมีพันธมิตรเข้าถึงเครื่องมือและบริการ
2. มีการใช้เครื่องมือ ‘RansomBay’ เพื่อสร้างเพย์โหลดแรนซัมแวร์ที่ปรับแต่งตามเป้าหมาย
3. แรนซัมแวร์ถูกเรียกใช้งานบนระบบ Windows ของเหยื่อ
4. ใช้เทคนิค Bring Your Own Vulnerable Driver (BYOVD) เพื่อปิดใช้งานกระบวนการรักษาความปลอดภัย
5. ทำการเข้ารหัสไฟล์โดยอาจใช้การเข้ารหัสแบบเต็ม แบบบางส่วน หรือแบบ Header-based ตามขนาดไฟล์และกฎการเข้ารหัสที่กำหนดไว้ล่วงหน้า (‘encryption_rules’)
6. เมตาดาต้าที่ถูกผนวกเข้ากับไฟล์ที่ถูกเข้ารหัสมีโครงสร้างที่ปรับปรุงใหม่ โดยมี ‘Encryption Ratio’ ขยายจาก 1 ไบต์เป็น 4 ไบต์ ทำให้ขนาดเมตาดาต้าทั้งหมดเป็น 537 ไบต์
7. ระหว่างการโจมตี อาจมีการใช้บริการโทรศัพท์คุกคามเพื่อกดดันเหยื่อให้จ่ายค่าไถ่
8. มีการถอดรหัสการตั้งค่าที่ฝังอยู่ในตัวแรนซัมแวร์โดยใช้อัลกอริทึม ChaCha8 ก่อนเริ่มขั้นตอนการเข้ารหัส

Recommendations:

Short Term:

• อัปเดตและแพตช์ระบบปฏิบัติการ ซอฟต์แวร์ และแอปพลิเคชันทั้งหมดเป็นเวอร์ชันล่าสุด โดยเฉพาะอย่างยิ่งสำหรับช่องโหว่ที่ทราบแล้วที่อาจถูกนำไปใช้โดยเทคนิค BYOVD
• ติดตั้งและอัปเดตโซลูชัน Endpoint Detection and Response (EDR) ที่แข็งแกร่ง
• เสริมความแข็งแกร่งของการรักษาความปลอดภัยอีเมลเพื่อป้องกันการโจมตีฟิชชิง ซึ่งเป็นช่องทางหลักที่กลุ่ม RaaS ใช้ในการเข้าถึงระบบเริ่มต้น
• ตรวจสอบฟอรัม Dark Web อย่างต่อเนื่องเพื่อรับทราบข้อมูลภัยคุกคามล่วงหน้า
• จำกัดสิทธิ์การเข้าถึงของผู้ใช้ให้สอดคล้องกับหลักการสิทธิ์ขั้นต่ำ (Least Privilege)

Long Term:

• พัฒนากลยุทธ์การสำรองข้อมูลที่ครอบคลุม โดยรวมถึงการสำรองข้อมูลแบบออฟไลน์และไม่สามารถแก้ไขได้ (Immutable Backups) เพื่อให้สามารถกู้คืนข้อมูลได้ในกรณีที่ถูกโจมตี
• จัดทำและทดสอบแผนรับมือเหตุการณ์ (Incident Response Plan) สำหรับการโจมตีแรนซัมแวร์เป็นประจำ
• ลงทุนในแพลตฟอร์มข่าวกรองภัยคุกคาม (Threat Intelligence Platform) เพื่อติดตามพฤติกรรมและเครื่องมือของกลุ่ม RaaS อย่าง DragonForce
• ใช้การแบ่งส่วนเครือข่าย (Network Segmentation) เพื่อจำกัดการแพร่กระจายของแรนซัมแวร์ภายในองค์กร
• ฝึกอบรมพนักงานเกี่ยวกับการรับรู้ด้านความปลอดภัยทางไซเบอร์อย่างสม่ำเสมอ เพื่อให้ระบุและหลีกเลี่ยงภัยคุกคามได้
• ใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย (Multi-Factor Authentication – MFA) สำหรับบัญชีทั้งหมด โดยเฉพาะบัญชีผู้ดูแลระบบและบริการที่สำคัญ
• ใช้มาตรการป้องกันการเข้าถึงแบบไม่ได้รับอนุญาต เช่น Zero Trust Architecture

Source: https://cybersecuritynews.com/dragonforce-ransomware-group-expands-its-influence-with-cartel-like-operations/