Đơn vị nghiên cứu mối đe dọa của Acronis đã phân tích hoạt động gần đây liên quan đến nhóm DragonForce ransomware và xác định một biến thể mã độc mới đang hoạt động. Mẫu mã độc mới này sử dụng các driver dễ bị tổn thương như truesight.sys và rentdrv2.sys để vô hiệu hóa phần mềm bảo mật, chấm dứt các tiến trình được bảo vệ và khắc phục các lỗi mã hóa đã từng liên quan đến mã độc ransomware Akira.

Sơ đồ mã hóa được cập nhật giải quyết những điểm yếu đã được công khai chi tiết trong một bài viết trên Habr, chứng minh cam kết của nhóm trong việc duy trì an ninh hoạt động và ưu thế kỹ thuật. DragonForce gần đây đã công bố tái thương hiệu, tuyên bố nhóm sẽ hoạt động như một cartel ransomware, gia tăng đáng kể mối đe dọa mạng toàn cầu.

Biến Thể Mã Độc DragonForce Mới và Cơ Chế Kỹ Thuật

Biến thể mới nhất của DragonForce ransomware lợi dụng các driver yếu như truesight.sys và rentdrv2.sys. Mục tiêu chính là vô hiệu hóa các giải pháp bảo mật và chấm dứt các tiến trình quan trọng.

Kỹ Thuật Vô Hiệu Hóa Bảo Mật (BYOVD)

DragonForce triển khai các cuộc tấn công Bring Your Own Vulnerable Driver (BYOVD) bằng cách sử dụng driver truesight.sys và rentdrv2.sys. Các driver này được dùng để chấm dứt các tiến trình và vô hiệu hóa phần mềm bảo mật.

DragonForce hỗ trợ hai backend driver phải có sẵn trên máy chủ nạn nhân: Truesight và BadRentdrv2.

Bằng cách gửi các mã điều khiển phù hợp đến các driver này thông qua DeviceIoControl, kẻ tấn công có thể khiến các driver chấm dứt các tiến trình cụ thể, vô hiệu hóa hiệu quả các giải pháp phát hiện và phản ứng điểm cuối (EDR).

Các thành phần kỹ thuật liên quan:
- Driver: truesight.sys
- Driver: rentdrv2.sys (BadRentdrv2)

Cơ chế khai thác: DeviceIoControl để chấm dứt tiến trình.

Cơ Chế Mã Hóa Nâng Cao

Sau khi một bài viết trên Habr tiết lộ những điểm yếu trong cơ chế mã hóa của Akira, DragonForce đã nhanh chóng củng cố encryptor của mình. Điều này giúp tránh các vấn đề tương tự và cải thiện độ bền bỉ của DragonForce ransomware.

Sơ đồ mã hóa mới sử dụng một khóa mã hóa ChaCha20 duy nhất được tạo cho mỗi tệp. Khóa này sau đó được mã hóa bằng khóa RSA công khai và được gắn vào đầu tệp kết quả.

DragonForce và LockBit Green có chung nguồn gốc thông qua mã nguồn Conti v3 bị rò rỉ. Điều này dẫn đến sự trùng lặp trong các quy trình và artifact. Mã được phân tích cho thấy sự trùng lặp rộng rãi với các tệp nguồn bị rò rỉ của Conti, bao gồm các quy trình khởi tạo và kỹ thuật thao tác API.

Sự Phát Triển và Mô Hình Hoạt Động của DragonForce

DragonForce ransomware là một nhóm Ransomware-as-a-Service (RaaS) xuất hiện lần đầu vào năm 2023. Ban đầu, nhóm này có liên quan đến nhóm tin tặc DragonForce Malaysia, mặc dù bằng chứng cụ thể vẫn còn hạn chế.

Nhóm này bắt đầu sử dụng bộ builder LockBit 3.0 bị rò rỉ để phát triển các encryptor của mình. Sau đó, họ đã áp dụng một cơ sở mã Conti v3 tùy chỉnh, đánh dấu sự tiến hóa trong khả năng tấn công của DragonForce ransomware.

Mô Hình Cartel Ransomware-as-a-Service (RaaS)

Vào đầu năm 2025, DragonForce bắt đầu tự gọi mình là một cartel ransomware. Cách tiếp cận này cho phép DragonForce tiếp tục xây dựng thương hiệu của mình như một trong những nhóm tội phạm mạng khét tiếng nhất hiện nay.

Thông qua chương trình liên kết, DragonForce đã củng cố vị thế của mình trong bối cảnh ransomware. Họ thu hút các đối tác mới và cạnh tranh với các nhà điều hành RaaS đã có tên tuổi. Chương trình này cung cấp cho các đối tác 80% lợi nhuận, các encryptor có thể tùy chỉnh và cơ sở hạ tầng.

Các đối tác có thể triển khai phần mềm độc hại của riêng họ trong khi sử dụng cơ sở hạ tầng của DragonForce và hoạt động dưới thương hiệu riêng. Điều này làm giảm rào cản kỹ thuật và cho phép cả các nhóm đã thành lập và các tác nhân mới thực hiện các hoạt động mà không cần xây dựng một hệ sinh thái ransomware hoàn chỉnh.

Các Liên Minh Chiến Lược

Trong số các đối tác của DragonForce có Scattered Spider, một nhà môi giới truy cập ban đầu nổi tiếng về lừa đảo (phishing), hoán đổi SIM và bỏ qua xác thực đa yếu tố (MFA).

Các chiến dịch của nhóm này đã gây ra nhiều nạn nhân, bao gồm các tổ chức nổi tiếng như Marks & Spencer và Harrods. Sự hợp tác giữa Scattered Spider và DragonForce đã phát triển thành các trùng lặp rộng hơn với LAPSUS$ và ShinyHunters. Các nhà nghiên cứu đã gọi nhóm này là Scattered LAPSUS$ Hunters trong hệ sinh thái Hacker Com.

DragonForce ransomware cũng đã được liên kết với các đối tác tạo ra các biến thể ransomware như Devman và Mamona/Global. Nhóm này cũng tấn công các nhóm đối thủ để củng cố vị thế của mình trong hệ sinh thái.

Bằng cách tái thương hiệu thành một cartel, DragonForce đã củng cố ảnh hưởng của mình trong bối cảnh ransomware. Nhóm này chứng minh sự thống trị của mình bằng cách làm hỏng hoặc chiếm quyền kiểm soát cơ sở hạ tầng của đối thủ, bao gồm cả các nỗ lực chống lại BlackLock và RansomHub.

Tác Động và Các Nạn Nhân của DragonForce

Hơn 200 nạn nhân đã bị tiết lộ trên trang rò rỉ của DragonForce kể từ cuối năm 2023. Các ngành bị ảnh hưởng bao gồm bán lẻ, hàng không, bảo hiểm, nhà cung cấp dịch vụ được quản lý (MSP) và các lĩnh vực doanh nghiệp khác.

Một trong những cuộc tấn công đáng chú ý nhất là nhằm vào nhà bán lẻ Marks & Spencer(Nguồn), hợp tác với Scattered Spider. Vụ việc này nhấn mạnh mức độ nghiêm trọng của DragonForce ransomware.