✅ 보고서 제목: DragonForce 랜섬웨어 그룹 생태계 심층 분석 보고서

✅ 보고서 요약:

- DragonForce는 2023년 12월부터 활동 중인 랜섬웨어 그룹으로, RaaS(Ransomware-as-a-Service)로 확장함과 동시에 자신들을 카르텔로 지칭하며 세력을 확장해나가고 있습니다.

- 또한 DEVMAN, BlackLock 등 DragonForce 랜섬웨어와 유사한 그룹들이 지속적으로 등장했습니다.

- DragonForce 랜섬웨어는 2023년 12월부터 2026년 1월까지 363개의 기업을 대상으로 공격을 수행하였으며, 2025년도를 기점으로 활동량이 증가하는 추세를 보입니다.

- DragonForce 랜섬웨어 그룹은 BreachForums, RAMP, Exploit 등 여러 다크웹 포럼에서 활동 중입니다.

- DragonForce는 RaaS 시장에서의 영향력 확장을 위해 다른 그룹들을 공격하거나 공개적인 동맹을 형성하기도 합니다.

- 다른 RaaS 그룹과의 차별화를 위해 피해 기업 전화 협박 서비스, 새로운 RaaS 브랜드 제작 및 운영 지원, 데이터 분석 서비스 등을 제공합니다.

- DragonForce와 연관성이 드러난 그룹은 BlackLock, RansomHub, Scattered Spider, DEVMAN, LockBit으로 확인됩니다.

- 일부 사례에서는 인프라 수준의 공격을 통해 적대적 관계를 형성하였으며, 다른 사례에서는 소스코드, 바이너리, 랜섬노트의 유사성을 기반으로 연관성이 확인되었습니다.

- DragonForce는 Qilin 및 LockBit과의 공개적 협력을 시도한 바 있습니다.

- 다음 그룹들은 DragonForce와 적대적 관계를 유지했거나 운영상 연관성이 존재하는 정황이 확인된 조직들입니다.

드래곤포스(DragonForce) 랜섬웨어 그룹과 적대적이거나 연관된 그룹

- DragonForce의 Affiliate로 내부 패널에 침투하여 패널 기능과 제공되는 서비스를 파악하였습니다.

- 패널 기능으로 Client 관리, 빌드 생성, Advertiser 추가, 팀 관리, Blog 생성, Read Me, New, Ticket 생성 등이 존재하는 것을 확인하였습니다.

- DragonForce는 주로 원격 데스크탑 서버를 통해 초기 침투를 수행하며, 자격 증명을 수집한 후 피해 시스템이 속한 네트워크 전체에 DragonForce 랜섬웨어를 배포합니다.

- DragonForce 랜섬웨어는 Windows와 Linux(ESXi, NAS, RHEL) 버전이 존재합니다.

- 공격 과정에서 취약한 드라이버를 악용한 권한 상승을 수행하므로 기존 백신으로 탐지가 어려울 수 있습니다. 따라서 드라이버를 최신 버전으로 업데이트하고, 차단 목록을 최신 상태로 유지하는 등의 대응이 권고됩니다.

👉 보고서 전문 보기(영문): https://bit.ly/4kROZis

🧑‍💻 보고서 작성자: S2W TALON

*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.