Selon Trend Micro, cette analyse détaille l’évolution et les techniques de DragonForce (Water Tambanakua), un ransomware-as-a-service qui a muté d’un usage des builders LockBit 3.0 en 2023 vers un modèle de « cartel » RaaS en 2025.
-
Le groupe propose aux affiliés jusqu’à 80% des rançons et fournit des payloads multivariants pour Windows, Linux, ESXi et NAS, ainsi que des outils avancés dont des services d’analyse de données pour l’extorsion. Des liens avec Scattered Spider, RansomHub et d’autres acteurs sont évoqués, suggérant un écosystème complexe. 🐉
-
Sur le plan technique, DragonForce réutilise des éléments issus des builders Conti V3 et LockBit 3.0. Il implémente le BYOVD pour désactiver les protections, supprime les shadow copies, modifie la configuration de démarrage, et chiffre les fichiers avec des extensions telles que “.dragonforce_encrypted” ou “.locked”. Le binaire supporte de multiples arguments CLI (chiffrement en mode sans échec, mouvements latéraux via PsExec et GPO, ciblage de chemins). 🔐
-
Chaîne d’infection: exploitation d’applications exposées avec CVE-2023-46805 et CVE-2024-21887, dumping d’identifiants via Mimikatz/LaZagne, mouvements latéraux via RDP/SMB, et exfiltration de données via MEGA.nz. Le C2 s’appuie sur Cobalt Strike et SystemBC.
-
Ciblage et impact: des grands détaillants britanniques et des infrastructures critiques à l’échelle mondiale ont été visés, avec une affectation prédominante aux États-Unis. Le modèle « cartel » élargit l’empreinte opératoire via un programme d’affiliation agressif.
-
IOCs et TTPs (extraits de l’article):
- IOCs: extensions de chiffrement: “.dragonforce_encrypted”, “.locked”; usage d’hébergement d’exfiltration: MEGA.nz; frameworks C2: Cobalt Strike, SystemBC.
- TTPs: BYOVD (évasion défensive), suppression de shadow copies, modification du boot, Safe Mode encryption, PsExec/GPO pour mouvement latéral, RDP/SMB, credential dumping (Mimikatz, LaZagne), exploitation de CVE-2023-46805 et CVE-2024-21887, double extorsion.
Type d’article et objectif: analyse de menace visant à mettre en lumière l’évolution, les capacités techniques et les opérations de DragonForce.
🧠 TTPs et IOCs détectés
TTPs
BYOVD (évasion défensive), suppression de shadow copies, modification du boot, Safe Mode encryption, PsExec/GPO pour mouvement latéral, RDP/SMB, credential dumping (Mimikatz, LaZagne), exploitation de CVE-2023-46805 et CVE-2024-21887, double extorsion
IOCs
extensions de chiffrement: .dragonforce_encrypted, .locked; usage d’hébergement d’exfiltration: MEGA.nz; frameworks C2: Cobalt Strike, SystemBC
🔗 Source originale : https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-dragonforce