✅ 보고서 제목: DragonForce 랜섬웨어 상세 분석

✅ 보고서 요약:

- S2W 위협 인텔리전스 센터 TALON에서 DragonForce 랜섬웨어에 대한 상세 분석 보고서를 공개했습니다.

- 본 보고서에서 분석한 샘플은 Conti 기반의 DragonForce 랜섬웨어로 식별되었습니다.

- DragonForce 랜섬웨어는 ChaCha8로 암호화된 설정 정보를 복호화하여 실행 과정에서 활용합니다.

- DragonForce 랜섬웨어는 공개된 원격 데스크탑 서버를 통해 초기 침투를 수행하므로 원격 데스크탑 서버에 대한 접근 제한이나 VPN 기반 접근만 허용하는 같은 방법이 권고됩니다.

- DragonForce 랜섬웨어 그룹은 2023년 12월 처음 발견된 랜섬웨어 그룹으로, LockBit 3.0(Black)과 Conti를 기반으로 한 자체 랜섬웨어를 개발하여 공격에 활용합니다.

- 해당 그룹은 Affiliate에게 맞춤형 페이로드 제공 등 다양한 옵션을 선택할 수 있도록 지원하는 “Ransombay” 서비스를 운영하며, 스스로를 카르텔로 지칭합니다.

- DragonForce 랜섬웨어 그룹은 인프라 이전 및 소스코드 중복 정황을 근거로 BlackLock, RansomHub, LockBit 그룹과의 연관성이 제기되었습니다.

- VX-Underground에 따르면 DragonForce, LockBit, Qilin 세 그룹 간 동맹을 맺고 소통 채널 구축을 시도한 정황이 확인되었습니다.

- DragonForce 랜섬웨어 내부에 존재하는 문자열은 커스텀 알고리즘으로 난독화되어 있으며, 실행 중 복호화되어 사용됩니다.

- 총 5개의 실행 인자를 지원하며, -m 실행 인자에 따라 로컬 또는 네트워크 암호화 방식을 지원합니다.

- 암호화 대상 파일은 ChaCha8 알고리즘으로 암호화되며, 암호화된 파일의 끝에 534 bytes 크기의 메타데이터를 추가합니다.

- encrypt_file_name 값이 활성화된 경우 암호화된 파일에 확장자를 추가하는 동시에 원본 파일명을 Base32 방식으로 인코딩합니다.

- custom_icon 및 custom_wallpaper 필드가 활성화된 경우 암호화된 파일의 아이콘 또는 피해 시스템의 바탕화면을 변경합니다.

- 본 보고서에서 분석한 샘플은 Conti 기반의 DragonForce 랜섬웨어로 식별되었습니다.

- DragonForce 랜섬웨어는 Conti 계열 랜섬웨어에서 사용되는 뮤텍스 이름과 동일한 이름의 뮤텍스를 사용하였으며, 두 랜섬웨어 모두 동일하게 5개의 실행 인자를 지원합니다.

- 각 실행 인자별 기능 및 암호화 모드 또한 동일하게 구현되어 있었습니다.

- 두 랜섬웨어의 랜섬노트 파일명은 동일하지만, 랜섬노트 내부 데이터 구성 방식은 서로 다른 형태로 확인되었습니다.

- DragonForce 랜섬웨어는 공개된 원격 데스크탑 서버를 통해 초기 침투를 수행하므로, 원격 데스크탑 서버에 대한 접근 제어를 강화하고 계정에 대한 2단계 인증(2FA)을 활성화하는 것이 권고됩니다.

🧑‍💻 보고서 작성자: S2W TALON

👉 보고서 전문 문의하기: https://s2w.inc/ko/contact

*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.