DragonForce คือแรนซัมแวร์รูปแบบ RaaS (Ransomware-as-a-Service) ล่าสุดที่มุ่งเป้าโจมตีทั้งระบบ Windows และ VMware ESXi โดยใช้โค้ดที่หลุดออกมาจาก LockBit 3.0 และ Conti ถูกพบครั้งแรกในเดือนธันวาคม 2023 บน BreachForums กลุ่มนี้ใช้การโฆษณาข้อมูลที่ถูกขโมยและบล็อกบน Dark Web เพื่อกดดันเหยื่อ นักวิเคราะห์จาก S2W ได้วิเคราะห์การทำงานของ DragonForce อย่างละเอียด พบว่ามีการใช้ ChaCha8 และ RSA-4096 ในการเข้ารหัสไฟล์ และที่สำคัญคือพวกเขาได้เครื่องมือถอดรหัสที่ใช้งานได้จริงสำหรับทั้งสองแพลตฟอร์ม ทำให้เหยื่อบางรายสามารถกู้คืนข้อมูลได้โดยไม่ต้องจ่ายค่าไถ่.
Severity: สูง
System Impact:
- ระบบ Windows
- สภาพแวดล้อม VMware ESXi
- เซิร์ฟเวอร์ไฟล์ที่ถูกเข้ารหัส
- เครื่องเสมือน (Virtual Machines)
- ข้อมูลที่ถูกขโมย
Technical Attack Steps:
- **การเข้าถึงเบื้องต้น**: ผู้โจมตีมักเข้าถึงผ่านเซิร์ฟเวอร์ Remote Desktop (RDP) ที่เปิดเผยสู่สาธารณะ
- **การเคลื่อนย้ายภายใน**: ใช้เครื่องมือเช่น Cobalt Strike และ SystemBC เพื่อเคลื่อนย้ายภายในเครือข่ายของเหยื่อ
- **การปรับใช้แรนซัมแวร์**: ปรับใช้เพย์โหลด DragonForce ซึ่งสร้างจากโค้ดของ LockBit 3.0 และ Conti ที่รั่วไหล
- **การกำหนดค่า**: แรนซัมแวร์จะถอดรหัสการกำหนดค่าภายในโดยใช้ ChaCha8 และอ่านตัวเลือกการเข้ารหัส เช่น โหมดและเส้นทางเป้าหมาย (ตัวอย่างคำสั่ง: `dragonforce.exe -m net -p C:\ -j 8`)
- **การเข้ารหัสไฟล์**: สแกนเส้นทางทั้งในเครื่องและระยะไกล ข้ามพื้นที่ระบบหลัก และเข้ารหัสไฟล์ที่เลือก สำหรับอิมเมจดิสก์เสมือนขนาดใหญ่ จะเข้ารหัสเพียงบางส่วนเพื่อประหยัดเวลา
- **การเขียนเมตาดาต้า**: เขียนเมตาดาต้าขนาด 534 ไบต์ที่ส่วนท้ายของแต่ละไฟล์ ซึ่งประกอบด้วยคีย์ ChaCha8 ที่เข้ารหัสด้วย RSA, nonce และแฟล็กที่จัดเก็บโหมด, อัตราส่วน และขนาดไฟล์ต้นฉบับ
- **การกดดันเหยื่อ**: ใช้บล็อกบน Dark Web เพื่อเปิดเผยข้อมูลที่ถูกขโมยและกดดันให้เหยื่อจ่ายค่าไถ่ (DLS – Data Leak Site)
Recommendations:
Short Term:
- ตรวจสอบและรักษาความปลอดภัยของพอร์ต Remote Desktop (RDP) ที่เปิดเผยสู่สาธารณะอย่างเร่งด่วน เพื่อป้องกันการเข้าถึงเบื้องต้น
- หากตกเป็นเหยื่อ ให้พิจารณาใช้เครื่องมือถอดรหัส DragonForce ที่ S2W ค้นพบสำหรับระบบ Windows (.RNP) และ ESXi (.RNP_esxi) เพื่อกู้คืนข้อมูล
Long Term:
- ใช้กลยุทธ์การป้องกันเชิงลึก (Defense-in-Depth) เพื่อปกป้องระบบจากปฏิบัติการ Ransomware-as-a-Service (RaaS) ที่ซับซ้อน
- ปรับปรุงการเฝ้าระวังเครือข่ายและการตรวจจับภัยคุกคามเพื่อระบุและตอบสนองต่อการใช้เครื่องมือเคลื่อนย้ายภายใน เช่น Cobalt Strike และ SystemBC ได้อย่างรวดเร็ว
- รักษากระบวนการสำรองข้อมูลและกู้คืนที่มีประสิทธิภาพและเป็นประจำ เพื่อให้มั่นใจว่าสามารถกู้คืนข้อมูลสำคัญได้หากถูกโจมตี
- ให้การฝึกอบรมสร้างความตระหนักด้านความปลอดภัยทางไซเบอร์แก่ผู้ใช้และบุคลากรอย่างสม่ำเสมอ เพื่อลดความเสี่ยงจากการโจมตีทางสังคม
- อัปเดตระบบปฏิบัติการ ซอฟต์แวร์ และแพตช์ความปลอดภัยทั้งหมดให้เป็นปัจจุบันอยู่เสมอเพื่อลดช่องโหว่ที่อาจถูกใช้โจมตี
Source: https://cybersecuritynews.com/researchers-breakdown-dragonforce-ransomware/
Share this content: