O grupo de ransomware chamado DragonForce continua em expansão e tem se posicionado como um operador de RaaS com ambições de tipo “cartel”. Analistas documentaram mudanças técnicas e aumento no número de vítimas.
Atuação e alcance
Relatório público reúne evidências de que o DragonForce atua desde dezembro de 2023 com um modelo RaaS que atrai afiliados e promove serviços especializados. Segundo a apuração citada, o grupo publicou 363 empresas como vítimas no período entre dezembro de 2023 e janeiro de 2026, com pico de 35 vítimas em dezembro de 2025.
Modos operacionais e oferta de serviços
O grupo usa fóruns do mercado ilícito (por exemplo, BreachForums, RAMP e Exploit) para recrutamento e divulgação. Seus serviços incluiriam funcionalidades como o “RansomBay” (para geração de payloads customizados) e até serviços de assédio telefônico para pressionar vítimas — medidas destinadas a aumentar a taxa de pagamento.
Técnica e evolução do binário Windows
Em análises técnicas dos binários Windows, pesquisadores observaram que as rotinas de criptografia e as técnicas de encerramento de processos mantêm semelhanças com versões anteriores, mas a estrutura de metadados anexada aos arquivos criptografados foi alterada. O campo “Encryption Ratio” cresceu de um byte para quatro bytes, elevando o tamanho total do metadata para 537 bytes.
Recursos do builder e impacto
A versão mais recente do construtor (builder) inclui um recurso em beta chamado encryption_rules, que permite que operadores sobrescrevam modos de criptografia por extensão de arquivo. Na ausência de regra explícita, o malware escolhe entre criptografia total, parcial ou por cabeçalho conforme o tamanho do arquivo. Antes de iniciar rotinas, o ransomware descriptografa sua configuração embutida usando o algoritmo ChaCha8.
Vetor de evasão e técnicas adicionais
Os operadores continuam a empregar técnicas como Bring‑Your‑Own‑Vulnerable‑Driver (BYOVD) para neutralizar mecanismos de segurança no host e garantir a efetividade da criptografia. As mudanças no metadata e nas regras de criptografia dão ao atacante maior controle sobre o dano e a velocidade da criptografia no ambiente da vítima.
O que falta e recomendações
Os dados públicos disponíveis documentam escala e alterações técnicas, mas não oferecem uma lista completa das vítimas nem confirmação de pagamentos para todos os incidentes. Falta também um inventário público de indicadores de compromisso (IoCs) padronizados nesta matéria.
- Para defesa: monitoramento proativo de processos de proteção (EDR), verificação de integridade de drivers carregados e segmentação de backups off‑site.
- Recomendações operacionais: revisar logs de MFT/ACL, buscar arquivos com metadata incomum (537 bytes) e bloquear domínios/infraestrutura associada citada em relatórios de inteligência.
Fonte: apuração publicada por Cyber Security News com análise técnica referenciada.