Source: S2W — S2W TALON (Byeongyeol An) publie le 14 janvier 2026 une analyse approfondie de DragonForce, un ransomware actif depuis fin 2023, détaillant son fonctionnement, ses liens avec d’autres groupes, ses TTPs et la découverte de déchiffreurs dédiés.
— Contexte et évolution — • Découvert le 13 décembre 2023 via un post sur BreachForums, le groupe « DragonForce » maintient un DLS (Data Leak Site) et comptait déjà 17 victimes à cette date. En juin 2024, il officialise son modèle RaaS sur le forum RAMP (affiliés IAB, pentesters solo/équipes), promettant 80% des rançons aux affiliés et revendiquant une organisation de type « cartel ». Le groupe propose un service « Ransombay » pour des charges utiles personnalisées.
— Liens et connexions inter-groupes — • BlackLock (03/2025): d’après Resecurity, DragonForce a exploité une exposition d’IP réelle et une faille LFI pour accéder à l’infrastructure BlackLock, exfiltrer des informations (dont «/etc/passwd», chats) et remplacer le logo du DLS. Analyses indiquent des structures de code proches et des notes de rançon quasi identiques; DragonForce en C/C++ vs BlackLock en Go. • RansomHub (04/2025): annonce sur RAMP d’un transfert d’infrastructure/partenariat; l’ancienne adresse DLS de RansomHub est modifiée, avec de nouveaux contacts liés à DragonForce et une nouvelle rubrique « DragonNews ». La nature exacte (transfert vs saisie) n’est pas tranchée. • LockBit 3.0 (Black): CYBLE relève une forte similarité (≈93,7% des fonctions; ≈99% des séquences/branches), suggérant l’usage du builder LockBit 3.0 divulgué. DragonForce a aussi proposé des canaux de communication avec LockBit et Qilin (échange de Tox IDs).
— Opérations et TTPs (Group-IB) — • Intrusions initiales via RDP et comptes de domaine valides, puis exécution PowerShell pour charger un Cobalt Strike Beacon avec persistance via SystemBC. Usage de Mimikatz (dump LSASS) et d’outils d’inventaire (ADFind, netscanold.exe), mouvement lateral RDP, puis déploiement du chiffrage. • Chaîne d’exécution: déchiffrement de config, planification de tâche + synchro temps, kill process (BYOVD via drivers vulnérables), chiffrement ChaCha8 + RSA‑4096, suppression des Volume Shadow Copies. • Fonctions notables: obfuscation de chaînes, optionnel API resolving (MurMurHash2) selon certains échantillons; modes d’exécution et de chiffrement (-m all/net/local), logging (option -log), mutex (nom réutilisé dans des ransomwares Conti‑based), Job Scheduler, chiffrement réseau SMB (ARP + NetShareEnum), renommage et extension personnalisée, changement d’icône et de fond d’écran, suppression VSS via WQL/CreateProcess.
— Base de code et similitudes avec Conti — • DragonForce partage de nombreux éléments avec Conti: mêmes paramètres d’exécution (dont -m), logique d’énumération réseau (ARP, parts SMB, exclusion ADMIN$), stratégies d’exclusion, algorithmes de chiffrement ChaCha8 + RSA‑4096 et structure des métadonnées ajoutées. Différences notées dans la liste d’exclusions (p.ex. omission de Trend Micro et CONTI_LOG.txt) et la structure des notes de rançon.
— Déchiffreurs obtenus par S2W — • S2W indique avoir obtenu un décryptor DragonForce: 1 pour Windows et 3 pour ESXi (même logique, variations de « build_key »). Processus commun: déchiffrement de la config, identification des fichiers, déchiffrement du blob RSA, parsing de la session key et du nonce, déchiffrement ChaCha8. • Windows: cible des fichiers .RNP; lit 537 octets de métadonnées en fin de fichier, utilise la clé privée RSA‑4096 (CryptImportKey) pour récupérer la session key/nonce/mode/ratio/taille, puis déchiffre; inclut la détection des shares réseau (ARP → SMB → NetShareEnum) et déchiffrement des parts. • ESXi: trois binaire(s) quasi identiques, chaque système chiffré recevant un « build_key » (8 octets); traverse un chemin avec -p, supprime la note de rançon readme.txt si présente, vérifie la correspondance du build_key dans les 8 derniers octets avant de déchiffrer; métadonnées de 512 octets; restaure le nom original.
— IoCs et TTPs — • IoCs (extraits de l’analyse):
- Hash échantillon (API resolving): SHA256 410db536a57c511b0ccac2639e0eb3320f303fc5c90242379ab43364c51ef321
- Extensions chiffrées/associées: .RNP (Windows), .RNP_esxi (ESXi), .dragonforce_encrypted (mapping d’icône via registre)
- Drivers BYOVD: truesight.sys (vulnérable ≤ v3.4.0), rentdrv2.sys
- Chemins/artefacts: C:\Users\Public\log.log, C:\Users\Public\icon.ico, C:\Users\Public\wallpaper_white.png, note de rançon readme.txt • TTPs (MITRE ATT&CK):
- T1078.002 Comptes valides (Domain Accounts)
- T1059.001 PowerShell (exécution)
- Outils: Cobalt Strike Beacon, SystemBC, Mimikatz, ADFind, netscanold.exe
- T1003.001 Dump mémoire LSASS (Credential Access)
- T1482 Découverte des relations d’approbation AD
- T1016 Découverte de la configuration réseau
- T1021.001 Mouvement latéral via RDP
- BYOVD pour terminaison de processus (drivers vulnérables)
- Chiffrement: ChaCha8 + RSA‑4096; suppression VSS; chiffrement SMB sur parts réseau
Il s’agit d’une analyse technique et de recherche de menace visant à documenter en détail le fonctionnement de DragonForce, ses connexions avec d’autres écosystèmes RaaS et la disponibilité de déchiffreurs obtenus par S2W.
🧠 TTPs et IOCs détectés
TTP
[‘T1078.002 Comptes valides (Domain Accounts)’, ‘T1059.001 PowerShell (exécution)’, ‘T1003.001 Dump mémoire LSASS (Credential Access)’, ‘T1482 Découverte des relations d’approbation AD’, ‘T1016 Découverte de la configuration réseau’, ‘T1021.001 Mouvement latéral via RDP’, ‘BYOVD pour terminaison de processus (drivers vulnérables)’, ‘Chiffrement: ChaCha8 + RSA‑4096; suppression VSS; chiffrement SMB sur parts réseau’]
IOC
{‘hash’: [‘SHA256 410db536a57c511b0ccac2639e0eb3320f303fc5c90242379ab43364c51ef321’], ’extensions’: [’.RNP (Windows)’, ‘.RNP_esxi (ESXi)’, ‘.dragonforce_encrypted’], ‘drivers’: [’truesight.sys (vulnérable ≤ v3.4.0)’, ‘rentdrv2.sys’], ‘paths’: [‘C:\Users\Public\log.log’, ‘C:\Users\Public\icon.ico’, ‘C:\Users\Public\wallpaper_white.png’, ’note de rançon readme.txt’]}
🔗 Source originale : https://medium.com/s2wblog/detailed-analysis-of-dragonforce-ransomware-25d1a91a4509