Resumo
Pesquisadores detalharam o ransomware DragonForce e obtiveram um decryptor funcional para versões que afetam sistemas Windows e VMware ESXi, oferecendo caminho de recuperação para algumas vítimas.
Descoberta e escopo técnico
De acordo com a matéria, o grupo DragonForce, identificado inicialmente em fóruns em 2023, opera como RaaS e direciona ataques a ambientes Windows e VMware ESXi. Pesquisadores da S2W identificaram um build customizado que obfusca strings e emprega ChaCha8 combinado com RSA‑4096 para encriptação de arquivos.
Vetor de ataque e modus operandi
- Entradas iniciais relatadas: servidores RDP expostos e uso de ferramentas ofensivas como Cobalt Strike e SystemBC para movimentação lateral.
- Comportamento do encryptor: opções de linha de comando permitem modos (local, rede ou misto) e ajuste da razão de criptografia parcial para acelerar ataques contra arquivos grandes; em VMs (discos virtuais) a ferramenta pode criptografar apenas blocos em vez do arquivo completo.
- Formato de arquivo: versão Windows busca arquivos com extensão .RNP; variante ESXi usa .RNP_esxi e inclui um valor mágico de oito bytes chamado build_key; ao final de cada arquivo a ransomware grava 534 bytes de metadados que contêm a chave ChaCha8 criptografada por RSA e flags de configuração.
Decryptor e implicações para resposta a incidentes
Durante trabalho de threat hunting, a S2W obteve um decryptor para ambas as plataformas (Windows e ESXi). Isso fornece uma via de recuperação que pode evitar pagamento de resgate para algumas vítimas. A matéria descreve que o decryptor mapeia a cadeia completa de descriptografia, desde o carregamento de chaves RSA até a restauração de metadados e arquivos.
Limitações e o que não está claro
- A matéria não especifica quantas vítimas foram recuperadas com o decryptor nem como ele será disponibilizado (se publicamente, por meio de parceiros de resposta a incidentes ou apenas mediante contato com os pesquisadores).
- Também não há referência a indicadores de comprometimento (IoCs) completos, listas de hashes ou endereços dos servidores de comando e controle na notícia recebida.
Recomendações práticas
- Organizações devem isolar máquinas suspeitas, coletar evidências (voláteis e persistentes) e verificar presença de artefatos como extensões .RNP/.RNP_esxi e metadados finais descritos pela pesquisa.
- Remediar vetores de entrada: corrigir RDP exposto, revisar autenticação multifator, segmentação de rede e controles de acesso para consoles de virtualização.
- Se possível, entrar em contato com os pesquisadores (S2W) ou fornecedores de resposta a incidentes para avaliar elegibilidade ao uso do decryptor e validar integridade dos arquivos antes da restauração.
Fonte original: Cyber Security News (relato da pesquisa S2W)