【涉我威胁预警】中国某在港上市电动车集团股份有限公司疑似成为DragonForce勒索软件受害者

加个星标，及时获取情报，不然人家报告都写完了，你才看到资讯！

免责声明：我方在此声明，对于本公告中提及的勒索软件即服务组织宣称的攻击事件及相关信息，我方并未进行独立的分析和鉴别。所有信息均基于公开来源和第三方报告，仅供参考。

2025年03月18日，我方网络空间威胁线索监测引擎(www.libaisec.com)成功捕捉到勒索组织DragonForce宣称其已非法获取了1.1 TB的中国某在港上市电动车集团股份有限公司组织数据，并计划在未来8至9天内对外公布。

中国某在港上市电动车集团股份有限公司（ya***a.com），香港交易所股票代码1***5，代表中国在电动自行车、电动摩托车生产领域的重要企业。其作为一家专注于电动两轮车及其相关配件的生产和销售的投资控股企业，其业务涵盖两大部门：一是电动两轮车辆及相关配件部门，主要负责相关产品的研发、制造及销售；二是电池板块，致力于电池的生产与销售。公司产品线丰富，包括三轮系列、摩托车系列、踏板车系列、经典系列等。该集团的产品不仅在国内市场广受欢迎，还远销至菲律宾、泰国、马来西亚、老挝等东南亚国家，展现了企业的国际竞争力和市场影响力。

DragonForce 是一个勒索软件即服务（RaaS）附属计划，现在使用两个版本的勒索软件来针对其受害者。该组织自2023年12月起被首次揭露，与一系列引人注目的网络攻击事件紧密相连。其背后的组织已展现出网络渗透与数据加密的卓越能力，所实施的网络攻击活动融合了传统勒索软件的战术与创新手段，致力于追求最大的经济利益。

DragonForce 勒索软件组织利用 SystemBC 后门进行持久性，利用 Mimikatz 和 Cobalt Strike 进行凭据收集，并使用 Cobalt Strike 进行横向移动。他们还使用 SoftPerfect Network Scanner 等网络扫描工具来映射网络并促进勒索软件的传播。威胁行为者普遍采用双重勒索策略，即在加密数据前先进行数据泄露，以此对受害者施加压力。若受害者未能满足其勒索要求，威胁行为者便以在暗网上公布数据相威胁。

经查明，DragonForce 与臭名昭著的 LockBit 勒索软件集团存在关联。他们不仅利用 LockBit 3.0 的变体运营勒索软件即服务（RaaS）联盟计划，还使用 Conti 变体中的“自带易受攻击的驱动程序”（BYOVD）技术来禁用安全进程并逃避检测。此外，他们在加密后清除 Windows 事件日志，以阻碍取证调查并掩盖其踪迹。

LockBit 3.0，亦即 LockBit Black，是 LockBit 勒索软件家族的最新版本，由 LockBit 集团研发，于 2022 年 9 月被一名叛变的开发人员公开泄露。这一事件使得众多网络犯罪集团，包括新兴的 DragonForce 勒索软件组织，得以利用其技术展开更为复杂的网络攻击。

据不完全统计，DragonForce 勒索软件在其暗网网站上共列出了 82 名受害者。其中，43 次攻击发生在美国，占事件的 52.4%。其他重要目标包括英国 10 次攻击 （12.2%） 和澳大利亚 5 次攻击 （6%）。

DragonForce最初的感染途径往往依赖于网络钓鱼邮件或通过远程桌面协议（RDP）、虚拟专用网络（VPN）等漏洞进行传播。一旦侵入网络，DragonForce 可迅速扩散，并利用先进的加密技术对关键系统和数据进行锁定。许多 DragonForce 勒索软件攻击是针对每个受害者定制的，以最大限度地发挥其影响。为此，威胁行为者可以利用诸如更改加密文件的文件扩展名和终止特定进程和服务等策略。其勒索软件构建器允许附属公司准确指定勒索软件应终止哪些进程，以确保成功加密受害者设备上的所有重要数据。

DragonForce 的运营商使用双重勒索技术，除了加密之外，他们还泄露了受害者的敏感数据。然后，他们要求受害者支付赎金以换取解密器，并“承诺”不会泄露他们被盗的数据。这种双管齐下的方法既失去了对数据的访问权限，又暴露了他们的机密信息，这给受害者遵守攻击者的要求增加了巨大的压力，因为如果他们的数据被公开，可能会对他们的声誉、隐私或业务连续性造成潜在损害。

网络空间威胁线索监测引擎系统了解：

原文始发于微信公众号（OSINT情报分析师）：【涉我威胁预警】中国某在港上市电动车集团股份有限公司疑似成为DragonForce勒索软件受害者