概要:高度なランサムウェア「DragonForce」の脅威
セキュリティ研究者が、高度な攻撃を行う「DragonForceランサムウェア」の運用に関する詳細な技術分析を公開しました。この分析には、特定の被害者を対象としたWindowsおよびESXiシステム用の機能的な復号ツールに関する情報も含まれています。DragonForceの専用データ漏洩サイト(DLS)が特定された時点までに、すでに17の被害組織がリストアップされていたことが明らかになっています。
DragonForceの台頭とRaaS運用モデル
DragonForceは自らを「カルテル」と位置づけ、「Ransombay」というブランド名でサービスを提供しています。これにより、アフィリエイトはカスタマイズされたペイロードと設定オプションを要求できます。2024年6月にRAMPフォーラムで募集が正式化されたこのRansomware-as-a-Service (RaaS)モデルの下、DragonForceは、初期アクセスブローカー、単独のペネトレーションテスター、組織化されたチームを積極的に募集しています。アフィリエイトには身代金収入の最大80%が提供されており、その攻撃的な成長戦略が浮き彫りになっています。
このグループは、2023年12月13日にBreachForumsのユーザー「@dragonforce」が盗難データを宣伝した際に初めて確認されました。この広告は「aglgases.com gigabytes of data!」というタイトルで行われ、DragonForceはRaaSエコシステムにおいて急速に重要なプレイヤーとしての地位を確立しました。
技術的特徴と他のランサムウェアとの関連性
技術的にも運用上も、DragonForceは独立した存在ではありません。このランサムウェアは、漏洩したLockBit 3.0 (Black)およびContiのコードに強く依存しており、分析されたサンプルの一つはConti系統のDragonForce亜種と評価されています。バイナリ類似性分析では、LockBit 3.0と90%以上の機能的重複が示されており、漏洩したLockBit Blackビルダーの使用が強く示唆されつつも、Contiスタイルのロジックと設定動作を維持しています。
インフラとコードの重複は、DragonForceがBlackLockやRansomHubを含む他の複数の著名なグループと関連付けられていることを示しています。これには、インフラの移行、共有または重複したコード、およびほぼ同一の身代金メモの証拠が含まれます。特筆すべきケースとして、DragonForceのオペレーターは、設定ミスとLFI脆弱性を介してBlackLockのDLSを侵害し、そのインフラを乗っ取り、内部データを暴露しました。
また、フォーラムの投稿では、RansomHubのインフラがDragonForceに移行または乗っ取られ、新しいDLSに「DragonNews」のブランドが表示されているとも主張されています。VX-Undergroundの報告によれば、DragonForceはLockBitおよびQilinとの連携同盟を試み、共通の通信チャネルと相互の非攻撃的姿勢を提案して、公衆の場での内紛を避け、集団的な影響力を強化しようとしたとされています。
詳細な攻撃メカニズム
DragonForceランサムウェアは、内部でカスタムの文字列難読化を使用し、独自のアルゴリズムを介して実行時に文字列を復号します。5つのコマンドライン引数をサポートしており、-mフラグが暗号化モード(ローカル、ネットワーク、混合)を制御します。
ファイルの暗号化にはChaCha8ストリーム暗号が使用され、各ファイルはランダムに生成されたセッションキーを受け取ります。暗号化が完了する前に、ランサムウェアは暗号化された各ファイルの末尾に534バイトのメタデータを追加します。このメタデータには以下が含まれます:
- ChaCha8キーとノンスを含むRSA-4096で暗号化された構造体。
- 1バイトの暗号化タイプ定数(完全、ヘッダーのみ、または部分的)。
- 1バイトの暗号化比率。
- 元のファイルサイズを格納する8バイトのフィールド。
DragonForceは、ファイルの種類とサイズに応じて、完全、ヘッダー、または部分的な暗号化を適用します。データベースのような形式は完全に暗号化し、仮想マシンやディスクイメージファイルは影響とパフォーマンスのバランスを取るために部分的に暗号化します。
ネットワーク暗号化モードでは、プライベート範囲のIPアドレスを列挙し、SMBを介して接続し、特定の共有タイプのみをターゲットにし、ADMIN$をスキップします。設定されている場合、マルウェアはファイルの名前も変更し、ユーザーインターフェースを改変します。encrypt_file_nameフラグが有効になっている場合、DragonForceはカスタムアルファベットを使用して元のファイル名をBase32エンコードし、その拡張子を追加します。少なくとも一つの系統では、拡張子に「.dragonforce_encrypted」が使用されます。また、バンドルされたICO画像を使用して暗号化されたファイルのアイコンを変更したり、デスクトップの壁紙をカスタムの身代金テーマの背景に置き換えたりすることも可能です。
WindowsおよびESXi向け復号ツールの登場
S2W Threat Research and Intelligence Center (TALON)は、DragonForceグループに対する脅威ハンティング作戦中に、DragonForceの復号ツールを入手しました。このツールキットは特定の被害者向けに調整されており、1つのWindows復号ツールと3つのESXi復号ツールで構成され、それぞれが特定の設定とキーマテリアルに紐付けられています。
Windows版では、復号ツールは「.RNP」拡張子を持つファイルをスキャンして暗号化されたデータを見つけます。各ファイルについて、ファイルの末尾にあるメタデータを読み取り、組み込まれたRSA-4096秘密鍵を使用してChaCha8セッションキーとノンスを復号し、ランサムウェアが使用したのと同じChaCha8ルーチンで元のコンテンツを復元します。このWindowsツールは、ランサムウェアのARPおよびSMBベースのプライベート範囲のホストと共有の発見をミラーリングし、ネットワーク共有の復号もサポートしています。
ESXiの場合、暗号化されたファイルは専用の拡張子(例:「.RNP_esxi」)と、被害者ごとの「build_key」から派生したマジック値によって識別されます。復号を試みる前に、ESXi復号ツールは候補ファイルの最後の8バイトをチェックし、それが埋め込まれたbuild_keyと一致する場合にのみ処理を進めます。検証後、RSA暗号化されたメタデータを解析し、ChaCha8セッションキーとノンスを抽出し、コンテンツを復号し、メタデータトレーラーを削除して、ファイルを元の名前に復元します。
このツールセットは全てのDragonForceインシデントに対する万能薬ではありませんが、その存在は復旧のための貴重な機会と、グループのConti由来の暗号化設計に関する追加の洞察を提供します。