Selon Pointwild, cette fiche de threat intelligence présente DragonForce, un ransomware‑as‑a‑service apparu mi‑2023 et attribué à la Malaisie, avec un focus sur ses tactiques de multi‑extorsion, ses cibles récentes au Royaume‑Uni et ses mécanismes techniques d’évasion et de persistance.
Le groupe opère un modèle RaaS et mène une multi‑extorsion: chiffrement des données et exfiltration d’informations sensibles. Début 2025, il a étendu ses opérations via un service « white‑label » nommé Ransom Bay et a ciblé des détaillants britanniques, dont Marks & Spencer et Harrods.
Côté chiffrement, DragonForce utilise ChaCha8 avec des stratégies adaptées à la taille et au type de fichier: chiffrement complet pour les fichiers < 3 Mo, chiffrement partiel (premiers 3 Mo) au‑delà, et 20% de chiffrement pour les fichiers de machines virtuelles.
Pour l’évasion et la persistance, le malware emploie l’obfuscation par stack strings, le DLL mapping pour contourner les hooks de sécurité, crée un mutex unique pour bloquer les exécutions concurrentes, termine certains processus, supprime les shadow copies via des requêtes WMI, et exclut des répertoires/fichiers critiques du système. Il maintient la persistance via des modifications du registre, dépose des notes de rançon et change le fond d’écran.
IOCs et TTPs:
- IOCs: mutex hsfjuukjzloqu28oajh727190
- TTPs: multi‑extorsion (chiffrement + exfiltration) ; suppression des shadow copies via WMI ; terminaison de processus ; persistance par clés de registre ; obfuscation par stack strings ; DLL mapping pour contournement des hooks ; création de mutex ; ciblage/exclusion de types de fichiers ; dépôt de note de rançon et modification du fond d’écran.
Type d’article: analyse de menace présentant les capacités, tactiques et activité récente du ransomware.
🧠 TTPs et IOCs détectés
TTPs
multi-extorsion (chiffrement + exfiltration); suppression des shadow copies via WMI; terminaison de processus; persistance par clés de registre; obfuscation par stack strings; DLL mapping pour contournement des hooks; création de mutex; ciblage/exclusion de types de fichiers; dépôt de note de rançon et modification du fond d’écran
IOCs
mutex hsfjuukjzloqu28oajh727190
🔗 Source originale : https://www.pointwild.com/threat-intelligence/dragonforce-ransomware