DragonForceカルテルの台頭と新たな脅威
Acronis脅威研究ユニットは、DragonForceランサムウェアグループに関連する最近の活動を分析し、新たなマルウェア亜種を発見しました。この最新のサンプルは、truesight.sysやrentdrv2.sysといった脆弱なドライバーを利用して、セキュリティソフトウェアを無効化し、保護されたプロセスを終了させ、以前Akiraランサムウェアに関連していた暗号化の欠陥を修正しています。更新された暗号化スキームは、DragonForceのリークサイトで引用されたHabrの記事で公に詳細が明らかにされた弱点に対処しており、グループが運用セキュリティと技術的優位性を維持することへのコミットメントを示しています。
最近、DragonForceはリブランドを発表し、今後はランサムウェアカルテルとして活動すると表明しました。アフィリエイトに利益の80%を提供し、カスタマイズ可能な暗号化ツールとインフラを提供することで、DragonForceは参入障壁を下げ、より多くのアフィリエイトの参加を促しています。それ以来、DragonForceは世界中の企業への攻撃を活発化させ、1年前と比較して著しく多くの被害者を公表しています。彼らの最も注目すべき攻撃は、Scattered Spiderとの協力による小売業者Marks & Spencerを標的としたものでした。
カルテル運営とDragonForceの進化
DragonForceは、2023年に初めて登場したRansomware-as-a-Service(RaaS)グループであり、当初はハクティビストグループのDragonForce Malaysiaと関連付けられていましたが、両者をつなぐ具体的な証拠は限られています。このグループは、流出したLockBit 3.0ビルダーを使用して暗号化ツールを開発し始め、その後、カスタマイズされたConti v3コードベースを採用しました。2025年初頭、DragonForceは自らをランサムウェアカルテルとしてブランド化し始めました。このアプローチにより、DragonForceは現在活動している最も悪名高いサイバー犯罪グループの一つとしてブランドを構築し続けています。
アフィリエイトプログラムを通じて、DragonForceはランサムウェアシーンでの地位を強化し、新たなパートナーを引き付け、より確立されたRaaSオペレーターと競合しています。アフィリエイトは、DragonForceのインフラを使用しながら、独自のマルウェアを展開し、独自のブランドで運営することができます。これにより、技術的な障壁が下がり、確立されたグループと新規の攻撃者の両方が、完全なランサムウェアエコシステムを構築することなく運用を実行できるようになります。DragonForceのパートナーの中には、フィッシング、SIMスワッピング、MFAバイパスで知られる初期アクセスブローカーであるScattered Spiderがいます。このグループのキャンペーンは、Marks & SpencerやHarrodsなどの有名企業を含む多くの被害者を生み出しています。
技術的進化とBYOVD攻撃
DragonForceは、truesight.sysおよびrentdrv2.sysドライバーを使用してプロセスを終了させ、セキュリティソフトウェアを無効にする「Bring Your Own Vulnerable Driver(BYOVD)」攻撃を採用しています。DragonForceは、被害者ホストに事前に存在する必要がある2つのドライバーバックエンド(TruesightとBadRentdrv2)をサポートしています。これは、悪用されると(BYOVD)、市場の複数のEDRおよびアンチウイルスソフトウェアを終了させようとする脆弱なドライバーです。DeviceIoControlを通じてこれらのドライバーに適切な制御コードを送信することで、オペレーターはドライバーに指定されたプロセスを終了させ、エンドポイント検出および応答ソリューションを効果的に無力化させることができます。
テクノロジーとインターネット文化に焦点を当てたメディアプラットフォームであるHabrに記事が掲載され、Akiraの暗号化の弱点が明らかになった後、DragonForceは同様の問題を回避するために独自の暗号化ツールを迅速に強化しました。脆弱なrentdrv2(左)およびtruesight(右)ドライバーに他のプロセスを強制終了させる既知の制御コードが使用されます。暗号化スキームは、ファイルごとに生成される単一のChaCha20暗号化キーを使用し、その後公開RSAキーで暗号化され、結果のファイルの先頭に付加されます。DragonForceとLockBit Greenは、流出したConti v3コードを通じて共通の系統を共有しており、ルーチンとアーティファクトに重複が見られます。分析されたコードは、初期化プロセスやAPI操作技術を含むContiの流出したソースファイルと広範な重複を示しています。
拡大する脅威の状況
2023年後半以降、DragonForceのリークサイトでは、小売、航空会社、保険、マネージドサービスプロバイダー、その他の企業セクターにわたる200以上の被害者が公開されています。Scattered SpiderとDragonForceのこの協力は、LAPSUS$やShinyHuntersとのより広範な重複へと発展し、研究者たちはこれをハッカーエコシステム内の「Scattered LAPSUS$ Hunters」と呼んでいます。DragonForceはまた、DevmanやMamona/Globalのような亜種を作成するアフィリエイトとも関連付けられており、競合グループを中傷してエコシステム内での地位を強化しています。カルテルとしてリブランドすることで、DragonForceはランサムウェアの状況における影響力を強化することを目指し、BlackLockやRansomHubに対する試みを含む、競合するインフラを中傷または支配することでその優位性を証明しています。