セキュリティ研究者は、2023年に初めて登場し、その後「ランサムウェア・カルテル」と呼ばれるまでに進化したDragonForceランサムウェアの詳細な分析を行いました。
最新のバリアントは、truesight.sysやrentdrv2.sysなどの脆弱なドライバーを悪用し、セキュリティプログラムの無効化、保護されたプロセスの停止、以前Akiraランサムウェアに関連していた暗号化の脆弱性の修正を行います。
更新された暗号化方式は、DragonForceのリークサイトで参照されているHabrの公開記事で明らかにされていた脆弱性に対応しています。
DragonForceは世界中の組織に対する活動を強化し、前年よりも多くの被害組織の詳細を公開しています。
同グループの最も注目された侵害は、小売企業Marks & Spencerを標的としたもので、サイバー犯罪集団Scattered Spiderハッキンググループと協力して実行されました。
DragonForceの登場
DragonForceは、ランサムウェア・アズ・ア・サービス(RaaS)として運営されています。グループはランサムウェア活動を再開し、アンダーグラウンドのサイバー犯罪プラットフォームを通じて悪質な協力者の積極的な勧誘を行っています。
当初、ギャングはLockBit 3.0のビルダーを不正利用して暗号化ツールを作成し、その後Conti v3のソースコードを改変したバージョンに移行しました。
ランサムウェアグループから「カルテル」への変貌
2025年に再登場したDragonForceは、自らを「ランサムウェア・カルテル」と再ブランディングし、運営戦略を大きく転換しました。
アフィリエイトに利益の80%やカスタマイズ可能な暗号化ツール、インフラを提供することで、DragonForceは新規および未経験のサイバー犯罪者の参入障壁を下げています。
この動きは、より多くのアフィリエイトがカルテルに参加し、その存在感を拡大することを促しています。
DragonForceとScattered Spiderの関係
DragonForceは、巧妙なソーシャルエンジニアリングや初期アクセス活動で知られる金銭目的の脅威アクターScattered Spiderと提携し、高価値ターゲットへのランサムウェア展開を効果的に実現しています。
Scattered Spiderは通常、組織のスタッフを調査して潜在的な標的を特定し、説得力のある人物像や事前説明を作成することから侵入を開始します。
グループは、ソーシャルメディアやオープンソースインテリジェンスツールを使って、氏名、役職、その他公開情報などの詳細を収集します。その後、高度なソーシャルエンジニアリング手法を駆使し、認証情報の取得やリセット、MFA疲労やSIMスワップなどの手口で多要素認証を回避します。
アクセスを得た後、Scattered Spiderは侵害したユーザーとしてサインインし、自身のデバイスを登録して継続的なアクセスを維持します。
初期侵害の後、Scattered Spiderはリモート監視・管理(RMM)ツールやトンネリングサービスを展開して永続化を確立します。
例えば、これらのツールにはScreenConnect、AnyDesk、TeamViewer、Splashtopなどが含まれます。ネットワーク内部に侵入すると、Scattered Spiderは徹底的な調査を行い、SharePoint、認証情報リポジトリ、バックアップサーバー、VPN構成ドキュメントなどの資産を標的にします。
最近の活動では、Scattered SpiderはAWS Systems Manager Inventoryを活用して、さらなるシステムを特定し横移動を行っています。彼らはETL(抽出・変換・ロード)ツールを使い、収集したデータを中央データベースにまとめ、攻撃者が管理するMEGAやAmazon S3ストレージサービスに流出させます。
作戦の最終段階では、DragonForceランサムウェアが展開され、Windows、Linux、ESXi環境全体のデータが暗号化されます。
協力型ランサムウェアの脅威
DragonForceは、確立されたランサムウェアフレームワークを基盤としつつ、段階的な改良と大規模な配布によって構築された、より組織的かつ持続的な新たな脅威を象徴しています。
コードを大幅にカスタマイズするグループとは異なり、DragonForceはカルテル型のリクルート、アフィリエイトの運用柔軟性、広範なパートナーシップに重点を置き、非常に適応力の高い強力な存在となっています。
Scattered Spiderとの連携により、競争一辺倒ではなく協力モデルを採用するサイバー犯罪グループが登場し、世界中の組織の防御をより困難にしています。
主なポイント
DragonForceとScattered Spiderのタッグは、「カルテル化」するサイバー犯罪への警鐘です。ここでは、高度に専門化された脅威アクターが、Scattered Spiderの高度なソーシャルエンジニアリングと初期アクセスのスキル、DragonForceの堅牢なランサムウェア・アズ・ア・サービスモデルを組み合わせ、壊滅的かつ注目度の高い攻撃を実行しています。
彼らの戦略的提携は、効率的かつ適応力の高い犯罪活動を生み出し、人為的ミスを突いて防御を突破した後、洗練されたマルウェアを活用することで、脅威の状況を大きく悪化させています。
今後を見据え、ITセキュリティ担当者は、ランサムウェアの協力モデルを正面から捉えた防御が必要であることを認識しなければなりません。
Scattered Spiderの主な初期アクセス経路を無効化するため、フィッシング耐性の高い多要素認証(MFA)を導入・厳格に運用し、リモート監視ツールの展開や脆弱なドライバーの使用を検知する堅牢なエンドポイント検知・対応(EDR)ソリューションに注力してください。これらは、初期アクセスブローカーからランサムウェアアフィリエイトへの引き継ぎを示す技術的兆候です。
セキュリティチームは、攻撃がもはや単一組織による脅威ではなく、専門化されたサイバー犯罪者エコシステムから最良のツールと手法を用いた、協調的かつ多段階の侵入であることを想定する必要があります。
TRUについて
Acronis Threat Research Unit(TRU)は、脅威インテリジェンス、AI、リスク管理を専門とするサイバーセキュリティの専門家チームです。TRUチームは新たな脅威の調査、セキュリティインサイトの提供、ITチームへのガイドライン・インシデント対応・教育ワークショップの支援を行っています。
