DragonForce は、2023 年後半以降、サイバー犯罪エコシステム全体にその手を広げ、カルテル型の運営へと急速に進化したランサムウェアグループです。
Ransomware-as-a-Service (RaaS) モデルで運営され、このグループは現在、単一のギャングとしてだけでなく、他の脅威アクターやアフィリエイトクルーのためのプラットフォームとして自らを位置付けています。
時間の経過とともに、このグループは単一運営モデルから RaaS「カルテル」へとシフトし、他のランサムウェアオペレーターやアフィリエイトを自身のブランドを保持したまま傘下に招き入れています。
そのインフラには「RansomBay」サービスが含まれており、パートナーがカスタマイズされたペイロードを生成し、攻撃を設定できるようにすることで、地下経済におけるカルテル的な役割をさらに強化しています。
DragonForce が初めて登場したのは 2023 年 12 月で、BreachForums で @dragonforce として知られるユーザーが盗んだデータを公開し、流出した LockBit 3.0 と Conti のソースコードから構築されたカスタムランサムウェアの宣伝を開始しました。
DragonForce ランサムウェアグループ
DragonForce の最初の被害者は 2023 年 12 月 6 日に公開データリークサイト(DLS)に掲載され、持続的なデータ恐喝キャンペーンの開始を告げました。
2023 年 12 月から 2026 年 1 月までの間に、このグループは DLS に 363 の被害組織をリストアップし、2025 年以降活動が急激に増加しています。グループは当初、2023 年 12 月に 22 の被害者を公開しました。
着実に運営を拡大し、2025 年 12 月には 1 ヶ月で 35 の被害者が投稿され、記録された活動の最高レベルに達しました。
これらの公開は、小売、製造、サービスなどのセクターへの注目度の高い攻撃と組み合わされ、身代金交渉において圧力と可視性を最大化するための意図的な戦略を反映しています。
影響力を維持するため、DragonForce は BreachForums、RAMP、Exploit を含む主要なダークウェブフォーラムで積極的に活動し、データをリークし、アフィリエイトを募集し、サービスを販売しています。
募集投稿では、差別化されたサービスポートフォリオが強調されています:DragonForce「ランサムウェアカルテル」ブランド、RansomBay ビルダーサービス、被害者への嫌がらせ電話作戦、恐喝中のレバレッジを高めるために設計されたデータ分析サービスなどです。
メタデータ構造の Encryption Ratio フィールドが 1 バイトから 4 バイトに変更され、暗号化されたファイルに追加される総メタデータサイズが 3 バイト増加しました。
サービススタックは典型的な RaaS スキームを超えており、DragonForce は単なるランサムウェア配布者ではなく、マルチサービス犯罪ハブとして機能しています。
DragonForce のカルテル戦略は、ダークウェブ全体の他のサイバー犯罪グループとの関係管理にも依存しています。
公開活動は協力と攻撃の両方を示しています:グループは LockBit や Qilin との協力を求める一方で、RansomHub や BlackLock などのライバルと衝突し、彼らのインフラやリークサイトへの攻撃を含んでいます。
インテリジェンスレポートはさらに、DragonForce を BlackLock、RansomHub、Scattered Spider、DEVMAN、LockBit などのグループと協力的または敵対的な文脈で関連付けており、混雑したランサムウェアエコシステムにおける組み込まれた役割を強調しています。
技術的進化
内部的には、DragonForce はマルウェアとアフィリエイトツールの両方を継続的に改良しています。
ファイルを暗号化した後、ランサムウェアはファイル名をエンコードし、MOTD ファイルを変更して、実行フローを完了します。
アフィリエイトパネルは、被害者管理、ペイロード(ビルド)生成、チーム調整、コンテンツとリークの公開、アフィリエイト向けの統合サポートチケット処理など、広範な機能を公開しています。
以前のパネルバージョンでは、BYOVD(Bring Your Own Vulnerable Driver)オプションと LockBit ベースのビルダーが公開されていましたが、これらはインターフェイスから削除されました。ただし、BYOVD を利用したプロセス終了は、新しく生成されたバイナリに埋め込まれたままです。
最近の更新では、拡張子ベースの暗号化モード機能も追加され、オペレーターがファイルタイプごとに完全、部分的、またはヘッダーのみの暗号化を選択して、影響と速度のバランスを取ることができるようになりました。
マルウェア自体はクロスプラットフォームで、Windows と Linux バージョン(ESXi、NAS、RHEL ビルドを含む)がコア暗号化と構成ロジックを共有しており、ESXi バリアントは仮想マシンのシャットダウンと環境収集を追加して、仮想化環境での最大限の混乱を引き起こします。
2024 年以降の DragonForce のパネル、ビルダー、バイナリの変更は、グループが一時的なキャンペーンを実行するのではなく、ツールを積極的に維持し、近代化していることを示しています。
カルテルブランディング、ライバルへの攻撃的なターゲティング、363 の既知の被害組織の増加するプールと組み合わせて、DragonForce は 2026 年までランサムウェアの状況における主要なアクターであり、防御者にとって優先的な脅威であり続けることが予想されます。
翻訳元: https://gbhackers.com/dragonforce-ransomware-group/
