Индустрия программ-вымогателей продолжает развиваться: банда DragonForce кардинально обновила свою программу RaaS (Ransomware-as-a-Service) и теперь выстраивает структуру, напоминающую картель.
В марте группа объявила, что операторы могут строить собственный бренд «под эгидой проверенного партнёра».
Кроме того, они позиционируют свою платформу как рынок, где партнёры могут выбрать:
проводить атаки под брендом DragonForce или под собственным именем.
Новая модель: аренда инфраструктуры
Теперь DragonForce предоставляет другим группировкам доступ к своей инфраструктуре, позволяя запускать собственные RaaS-операции на базе платформы DragonForce, но под другим именем или брендом. Это создаёт дистрибутивную модель партнерского брендинга, в которой «партнёры» могут вести бизнес без затрат на поддержку вредоносной инфраструктуры.Строго бизнес — но с оговорками
Представители DragonForce утверждают, что движимы исключительно финансовыми интересами, но при этом якобы следуют моральным принципам и не атакуют медицинские учреждения.Как работает обычная схема RaaS
- У каждой RaaS-группы есть операторы, которые:
- получают от разработчика вредоносное ПО для шифрования;
- используют предоставленную инфраструктуру;
- взламывают сети жертв;
- запускают шифровальщик;
- управляют ключами и ведут переговоры о выкупе.
- Разработчик также поддерживает сайт DLS (data leak site), где публикуются данные жертв, отказавшихся платить.
- Взамен разработчик получает долю от выкупа, обычно до 30%.
Что меняет DragonForce
DragonForce называет себя картелем вымогателей и взимает 20% с выкупа, предоставляя при этом:- доступ к шифратору под собственным брендом оператора;
- готовую инфраструктуру: средства для переговоров, хранилища данных, администрирование вредоносного ПО;
- возможность White Label-решений — запуск под своим брендом.
В марте группа объявила, что операторы могут строить собственный бренд «под эгидой проверенного партнёра».
Масштабируемость и цели
DragonForce заявляет, что готова управлять неограниченным числом брендов, способных атаковать Windows, ESXi, NAS и BSD-системы.Кроме того, они позиционируют свою платформу как рынок, где партнёры могут выбрать:
проводить атаки под брендом DragonForce или под собственным именем.
Отказ от инфраструктурных забот
По заявлению группы, партнёрам не нужно заботиться о:- разработке вредоносного ПО;
- управлении сайтами утечек (DLS);
- ведении переговоров с жертвами.
Кто входит в картель?
DragonForce утверждает, что среди её клиентов есть именитые группы, однако их названия и число не раскрываются.Мнение исследователей
По данным экспертов из Secureworks, новая модель позволяет DragonForce существенно увеличить партнёрскую сеть и, как следствие, повысить прибыль за счёт гибкости и масштабируемости.
Последнее редактирование модератором:
