✅ レポートタイトル：「DragonForce」ランサムウェア分析レポート

✅ レポートの要約：

- S2W脅威インテリジェンスセンター「TALON」は、DragonForceランサムウェアに関する詳細な分析レポートを公開しました。

- 本レポートで分析したマルウェアサンプルは、Contiのコードベースを基に開発されたDragonForceランサムウェアであることが確認されました。

- DragonForceランサムウェアは、ChaCha8で暗号化された設定情報を実行時に復号し、攻撃プロセス全体で利用します。

- 初期侵入は主に外部に公開されたRemote Desktopサービスを経由して行われるため、Remote Desktopへのアクセス制限やVPN経由のアクセスのみに限定する対策が推奨されます。

- DragonForceランサムウェアグループは、2023年12月に初めて確認されたランサムウェアグループで、LockBit 3.0（Black）およびContiを基にした独自のランサムウェアを開発・運用しています。

- 同グループは「Ransombay」と呼ばれるサービスを運営しており、Affiliateがペイロードのカスタマイズなど複数の攻撃オプションを選択できる仕組みを提供し、自らをカルテルと称しています。

- インフラの移行やソースコードの類似性といった点から、DragonForceはBlackLock、RansomHub、LockBitといった他のランサムウェアグループとの関連性が指摘されています。

- VX-Undergroundによると、DragonForce、LockBit、Qilinの3グループは同盟関係の構築を試み、共通の通信チャネルを確立しようとした動きが確認されています。

- DragonForceランサムウェアに含まれる文字列は独自のアルゴリズムで難読化されており、実行時に動的に復号されます。

- 本ランサムウェアは5つの実行引数をサポートしており、`-m`引数によってローカル環境またはネットワーク上のリソースに対する暗号化が制御されます。

- 対象ファイルはChaCha8アルゴリズムで暗号化され、暗号化後のファイル末尾には534 bytesのメタデータが付加されます。

- `encrypt_file_name`オプションが有効な場合、暗号化されたファイルには新たな拡張子が付与されるとともに、元のファイル名がBase32形式でエンコードされます。

- `custom_icon`および`custom_wallpaper`オプションが有効な場合、暗号化されたファイルのアイコン変更や、被害端末のデスクトップ壁紙の変更が行われます。

- 本レポートで分析したサンプルは、Conti系ランサムウェアを基にしたDragonForceランサムウェアであることが確認されました。

- DragonForceランサムウェアは、Conti系ランサムウェアで使用されているものと同一のミューテックス名を使用しており、両者は同じ5つの実行引数をサポートしています。

- 各実行引数に対応する機能や暗号化モードも、Contiとほぼ同一の実装となっています。

- ランサムノートのファイル名は両者で共通していますが、ランサムノート内部のデータ構造は異なる形式で構成されていました。

- DragonForceランサムウェアは、外部に公開されたRemote Desktopサービスを通じて初期侵入を行うケースが多いため、Remote Desktopサーバーへのアクセス制御を強化し、関連アカウントに対して二要素認証（2FA）を有効化することが推奨されます。

🧑‍💻 レポート作成者: S2W 「TALON」

👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact

*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。