勒索软件领域正在进行重组,一个名为DragonForce的黑客组织正试图通过卡特尔式(同业联盟)架构整合其他勒索团伙。DragonForce目前采用分布式附属品牌模式激励勒索软件参与者,为其他勒索软件即服务(RaaS)运营商提供无需承担基础设施维护成本的业务开展方式。
该组织代表向BleepingComputer表示,他们纯粹以经济利益为驱动,但也遵循“道德准则”,反对攻击某些医疗机构。
传统RaaS运营商拥有自己的附属团队或合作伙伴,勒索软件开发商会提供文件加密恶意软件和基础设施。附属方负责构建加密软件变种、入侵受害者网络并部署勒索软件,同时管理解密密钥并与受害者谈判赎金。开发商维护所谓的“数据泄露网站(DLS)”用于公布拒付赎金受害者的失窃信息。作为使用恶意软件和基础设施的交换,开发商通常从赎金中抽取最高30%的费用。
DragonForce自称“勒索软件卡特尔”,收取已支付赎金的20%。在其模式下,附属方可访问基础设施(谈判工具、失窃数据存储、恶意软件管理后台),并以自有品牌使用DragonForce加密器。该组织于3月宣布“新方向”,称附属方可“在已验证合作伙伴支持下创建自有品牌”。
DragonForce旨在管理“无限品牌”,这些品牌可针对ESXi、NAS、BSD和Windows系统。
DragonForce宣布推出类似SaaS的RaaS模型
来源:Secureworks
DragonForce向BleepingComputer解释其架构类似于市场平台,附属方可选择以DragonForce品牌或其他品牌部署攻击。本质上,威胁行为者团体可使用该服务并以白标形式使用自有品牌。作为回报,他们无需运营数据泄露网站、开发恶意软件或处理谈判事务。
不过附属方必须遵守规则,首次违规即遭除名。“我们是遵守规则的诚信合作伙伴。”DragonForce代表表示。“他们必须遵守规则,我们能实施控制,因为所有操作都在我们的服务器上运行,否则这种模式就没有意义。”这些规则仅适用于接受新商业模式的威胁行为者。
当被问及是否禁止攻击医院或医疗机构时,DragonForce表示这取决于医院类型,并表现出某种程度的同理心。“我们不攻击癌症患者或心脏相关机构,我们更愿意给他们捐款。我们是为了生意和金钱。”该组织告诉BleepingComputer。
网络安全公司Secureworks研究人员认为,DragonForce的模式可能吸引更多附属方,包括技术能力较弱的威胁行为者。“即使技术老练的威胁行为者也可能青睐这种无需自建基础设施就能部署恶意软件的灵活性。”通过扩大附属基数,DragonForce有望凭借其模式的灵活性获取更大利润。
目前尚不清楚有多少勒索软件附属方已接触该卡特尔组织,但DragonForce称成员名单包含知名团伙。“我不能透露具体数字,但来找我们合作的包括你们经常报道的那些组织。”一个名为RansomBay的新兴勒索团伙已加入该模式。
转载请注明出处@安全威胁纵横,封面由ChatGPT生成;
消息来源:https://www.bleepingcomputer.com/news/security/dragonforce-expands-ransomware-model-with-white-label-branding-scheme/
更多网络安全视频,请关注视频号“知道创宇404实验室”
原文始发于微信公众号(安全威胁纵横):黑客组织推出“加盟”新模式,勒索攻击威胁恐将全面升级
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论