DragonForceランサムウェア・シンジケートは、わずか2年の間に、無名の存在からデジタル恐喝の領域における卓越した捕食者へと台頭した。Cybereasonのアナリストによれば、これらの工作員は単発の侵入を仕掛けているだけではなく、洗練された「カルテル」型の枠組みを設計し、ばらばらの犯罪勢力を統一の旗印の下に集約しようとしているという。
2023年末に出現したDragonForceは、大手企業に対する一連の注目度の高い攻勢によって、瞬く間に存在感を示した。同グループは二重恐喝の戦略を用い、環境をロックする前にシステムデータを同時に暗号化し、機微なアーカイブを流出(持ち出し)させる。被害者が要求に応じない場合、盗まれた情報をダークウェブ上のリポジトリで公開すると脅迫する。主な標的は製造業の複合企業、建設会社、専門サービス事業者、テクノロジー企業で、被害の集中地域は米国、英国、ドイツ、オーストラリア、イタリアとなっている。
専門家は、このシンジケートがターンキー型の「Ransomware-as-a-Service」(RaaS)プラットフォームを提供していると指摘する。このモジュール式の攻撃スイートは、Windows、Linux、仮想化サーバープラットフォームなど多様なアーキテクチャをサポートする。ツールキットには、カスタマイズ可能な暗号化アルゴリズム、遅延実行トリガー、高速化のためのマルチスレッド処理、包括的な運用ログが備わっている。実際のデータ損失を引き起こさずに侵入を検証するための「シミュレーションモード」まで組み込まれている。最近、運営側は自動登録を導入し、従来の厳格な審査プロトコルを避けることで、アフィリエイトのオンボーディングを効率化した。
DragonForceはまた、全体戦略の転換を打ち出し、アフィリエイトがカルテルの共有インフラを利用しつつ独自の「ブティック・ブランド」を育てることを認めた。同時に、競合に対する攻撃的なキャンペーンも開始している。Cybereasonによれば、DragonForceは競合シンジケートのリークポータルへの侵害と改ざんに成功し、さらにRansomHubの「併合」を主張した。後者はこれらの主張を強く否定し、DragonForceが破壊工作を行い、国家の情報機関と協力していると非難したが、DragonForceはその後、主要シンジケートに対して標準化された行動規範の確立を呼びかけ、複数の著名なランサムウェア・プロジェクトとの連合を発表している。
単なる公開にとどまらず、このシンジケートは特に陰湿な「データ監査」サービスを先駆けて提供している。アフィリエイトには、盗まれた情報の分析内訳、被害者の事業上および評判上の脆弱性の評価、さらには経営層に対する圧力を最大化するために設計された定型の連絡文面や交渉スクリプトまで提供される。この「恐喝コンサルティング」への進化は、サイバー犯罪の地下世界における職業化が進むという不穏な傾向を示している。
彼らの成果物を技術的に分解すると、過去のランサムウェア・ファミリーから流出したソースコードとの顕著な類似点が明らかになる。マルウェアはネットワーク上の露出したサービスを綿密にスキャンし、システムユーティリティを悪用してシャドウコピーを削除することで、被害者から迅速な復旧手段を奪う。さらに、このスイートはセキュリティソフトの回避や、内部境界内でのラテラルムーブメント(横展開)のための高度な仕組みを用いている。
専門家は、DragonForceの急速な戦術的進化と拡大するアフィリエイト・ネットワークにより、あらゆる業界において強靭な脅威となっている点を強調する。組織には、システムのパッチ適用を優先し、多要素認証を実装し、堅牢なバックアップ手順を維持するとともに、内部ネットワークのテレメトリにおける異常を早期に検知するための高度な能力を育成することが求められる。
