La scène des ransomwares se réorganise, avec un gang connu sous le nom de DragonForce qui travaille à rassembler d’autres opérations sous une structure semblable à un cartel.
DragonForce encourage désormais les acteurs du ransomware avec un modèle de marque d’affiliation distribuée, fournissant à d’autres opérations de ransomware en tant que service (RaaS) un moyen de mener leurs activités sans avoir à gérer les coûts et les efforts de maintenance de l’infrastructure.
Le représentant d’un groupe a déclaré à Breachtrace qu’ils étaient purement motivés financièrement, mais qu’ils suivaient également une boussole morale et s’opposaient à attaquer certaines organisations de santé.
En règle générale, une opération RaaS a ses propres affiliés ou partenaires, et le développeur de ransomware fournit le logiciel malveillant de cryptage de fichiers et l’infrastructure.
Les affiliés créeraient une variante du package de cryptage, violeraient les réseaux des victimes et déploieraient le ransomware. Ils géraient également les clés de déchiffrement et négociaient généralement avec la victime pour un paiement de rançon.
Le développeur gère également un soi-disant site de fuite de données (DLS) où il publie des informations volées aux victimes qui n’ont pas payé l’attaquant.
En échange de l’utilisation de leurs logiciels malveillants et de leur infrastructure, le développeur facture aux affiliés des frais sur les rançons reçues qui peuvent normalement atteindre 30%.
L’entreprise de ransomware DragonForce
DragonForce s’appelle désormais un « cartel de ransomwares » et prend 20% des rançons payées.
Selon son modèle, les affiliés ont accès à l’infrastructure (outils de négociation, stockage des données volées, administration des logiciels malveillants) et utilisent le crypteur DragonForce sous leur propre marque.
Le groupe a annoncé la “nouvelle direction “en mars, affirmant que les affiliés peuvent créer leur » propre marque sous les auspices d’un partenaire déjà éprouvé.”
Comme l’indique l’article ci-dessous, DragonForce vise à gérer des “marques illimitées” pouvant cibler les systèmes ESXi, NAS, BSD et Windows.
DragonForce a déclaré à Breachtrace que leur structure est celle d’un marché, où les affiliés peuvent choisir de déployer des attaques sous la marque DragonForce ou une autre.
Fondamentalement, des groupes d’acteurs de la menace peuvent utiliser le service et la marque blanche sous leur propre nom, de sorte qu’il semble qu’ils soient leur propre marque.
En retour, ils n’ont pas à gérer les maux de tête liés à l’exécution de sites de fuite de données et de négociation, à développer des logiciels malveillants ou à négocier.
Il y a cependant des règles à respecter, et les affiliés seront expulsés au premier faux pas. “Nous sommes des partenaires honnêtes qui respectent les règles », nous a dit le représentant de DragonForce.
“Ils doivent suivre les règles, et nous pouvons contrôler cela parce que tout ce que nous exécutons est sur nos serveurs, sinon cela n’aurait aucun sens”, explique DragonForce.
Ces règles, cependant, ne sont disponibles que pour les acteurs de la menace qui adoptent le nouveau modèle commercial de ransomware proposé.
Lorsqu’on lui a demandé si les hôpitaux ou les organisations de santé étaient interdits, DragonForce a répondu que tout dépend du type d’hôpital et a montré ce que l’on pourrait qualifier d’empathie.
« Nous n’attaquons pas les patients atteints de cancer ou quoi que ce soit lié au cœur, nous préférons leur envoyer de l’argent et les aider. Nous sommes ici pour les affaires et l’argent, je ne suis pas venu ici pour tuer des gens, et mes partenaires non plus”, a déclaré l’acteur de la menace à Breachtrace .
Des chercheurs de la société de cybersécurité Secureworks affirment que le modèle de DragonForce pourrait plaire à un plus large éventail d’affiliés et attirer des acteurs de la menace moins techniques.
“Même les auteurs de menaces sophistiqués peuvent apprécier la flexibilité qui leur permet de déployer leurs propres logiciels malveillants sans créer et entretenir leur propre infrastructure » – Secureworks
En augmentant la base d’affiliés, DragonForce pourrait envisager des bénéfices plus importants grâce à la flexibilité de son modèle proposé.
On ne sait pas combien d’affiliés de ransomwares ont contacté DragonForce cartel au sujet du nouveau modèle de service, mais l’auteur de la menace a déclaré que la liste des membres comprenait des gangs bien connus.
« Je ne peux vous dire le nombre exact, mais nous avons des joueurs qui viennent nous voir sur lesquels vous écrivez souvent et qui souhaitent coopérer avec nous », a déclaré DragonForce à Breachtrace .
Un nouveau gang de ransomwares appelé RansomBay a déjà souscrit au modèle de DragonForce.