Cảnh báo: "Chợ đen" ransomware nhen nhóm, tin tặc có thể đặt hàng theo yêu cầu

[WhiteHat Team]

DragonForce, một nhóm ransomware mới xuất hiện từ cuối năm 2023 đang nhanh chóng trở thành mối đe dọa nghiêm trọng trong hệ sinh thái Ransomware-as-a-Service (RaaS) toàn cầu. Khác với các nhóm mã độc thông thường, DragonForce cung cấp cho các đối tác (affiliates) một bộ công cụ tùy biến mạnh mẽ, cho phép dễ dàng tạo ra các payload ransomware được thiết kế riêng cho từng mục tiêu tấn công.

Ban đầu nhóm hoạt động với động cơ chính trị, sau đó DragonForce đã chuyển hướng sang mục tiêu tài chính, nhắm vào nhiều ngành công nghiệp như sản xuất, công nghệ, tài chính, cơ sở hạ tầng thiết yếu tại các khu vực như Bắc Mỹ, châu Âu và châu Á.

Nền tảng RaaS hiện đại, thiết kế như SaaS, tùy biến cao và tích hợp chiến thuật tống tiền đa tầng​

DragonForce vận hành một nền tảng Ransomware-as-a-Service (RaaS) được thiết kế theo mô hình phần mềm như dịch vụ (SaaS), với đầy đủ công cụ và giao diện hỗ trợ cho các đối tác (affiliates). Điểm nổi bật của nền tảng này là ộ công cụ tạo payload modular, cho phép tùy chỉnh theo từng mục tiêu tấn công, bao gồm:

• Phương thức mã hóa (encryption module)
• Nội dung thông điệp đòi tiền chuộc (ransom note)
• Chiến thuật di chuyển ngang trong hệ thống (lateral movement techniques)

Theo báo cáo, ransomware của nhóm này còn sử dụng các kỹ thuật mã hóa ngắt quãng, tránh bị phát hiện bởi hệ thống EDR/XDR. Giao diện quản lý cho affiliate được thiết kế như CRM, có dashboard để theo dõi doanh thu, quản lý nạn nhân và hỗ trợ thương lượng tiền chuộc thông qua cổng .onion đa ngôn ngữ.

DragonForce còn tích hợp chiến lược double extortion, mã hóa dữ liệu và đồng thời đe dọa công khai thông tin qua cổng leak có tên DragonLeaks - nền tảng rò rỉ dữ liệu của DragonForce trên dark web, nhằm tăng sức ép và làm mất uy tín nạn nhân nếu không chi trả tiền chuộc.

Cấu trúc này biến DragonForce không chỉ là một nhóm tội phạm mạng đơn thuần, mà là một nền tảng tống tiền chuyên nghiệp với khả năng tùy biến cao, hỗ trợ đầy đủ quy trình như một dịch vụ hợp pháp.

Vũ khí hóa công cụ tinh vi & khai thác đa dạng​

Nhóm này sử dụng:

• LockBit 3.0 (phiên bản bị rò rỉ) và fork của Conti
• Kỹ thuật BYOVD để vô hiệu hóa EDR
• SystemBC hỗ trợ điều khiển từ xa và di chuyển trong mạng
• Công cụ phổ biến như Cobalt Strike và Mimikatz

Các phương thức xâm nhập gồm:

• Phishing với tệp đính kèm chứa mã độc (weaponized attachments)
• Khai thác các lỗ hổng nghiêm trọng đã công bố, đặc biệt là Log4Shell (CVE-2021-44228)
• Tấn công brute-force vào các dịch vụ RDP và VPN công khai
• Sử dụng thông tin đăng nhập bị đánh cắp, thu thập từ malware (infostealers) hoặc rò rỉ dữ liệu trước đó

Biến động trong giới RaaS và những dấu hiệu cạnh tranh ngầm​

Việc nền tảng rò rỉ dữ liệu của nhóm RansomHub bất ngờ biến mất vào tháng 4/2025 đã khiến nhiều chuyên gia đặt ra câu hỏi về khả năng xảy ra xung đột nội bộ, tái cấu trúc hoặc thậm chí là hành động rút lui có chủ đích trong giới Ransomware-as-a-Service (RaaS). Trong bối cảnh đó, DragonForce nhanh chóng mời chào các affiliate từng hợp tác với RansomHub chuyển sang sử dụng hạ tầng của mình.

Động thái này đã làm dấy lên nhiều suy đoán trong cộng đồng an ninh mạng, cho rằng đây có thể là dấu hiệu của một cuộc cạnh tranh ngầm giữa các nhóm ransomware lớn nhằm tranh giành thị phần, tài nguyên và nhân lực. Tuy chưa có bằng chứng rõ ràng về mâu thuẫn trực tiếp, nhưng các diễn biến gần đây cho thấy hệ sinh thái RaaS có vẻ đang bước vào giai đoạn phân cực mạnh mẽ.

Khuyến cáo cho đội ngũ an ninh mạng​

DragonForce đang gia tăng độ phức tạp, kết hợp giữa chiến thuật APT và mô hình RaaS chuyên nghiệp. Vì vậy đội ngũ an ninh mạng nên:

• Tăng cường giám sát điểm truy cập công cộng
• Phân tích TTPs liên quan đến DragonForce
• Duy trì tình trạng sẵn sàng ứng phó sự cố

Theo Cyber Press​