# DragonForce Ransomware > [!warning] Resumo Executivo > Operação RaaS que evoluiu de raizes hacktivistas para um modelo de "cartel de ransomware" - o primeiro do ecossistema criminal. Desde marco de 2025, funciona como plataforma white-label, permitindo afiliados operar suas proprias marcas usando infraestrutura DragonForce. Responsavel por ataques de alto perfil no varejo britanico (M&S, Co-op, Harrods) e com alegacao de ataque a FGV no Brasil. ## Visão Geral O **DragonForce** (rastreado pela Trend Micro como **Water Tambanakua**) e uma operação de Ransomware-as-a-Service que surgiu em **agosto de 2023**, inicialmente utilizando builders vazados do [[lockbit|LockBit 3.0]] e código do [[conti|Conti]] v3. O grupo tem origens controversas - ha indicios de ligacao com o coletivo hacktivista malasio DragonForce Malaysia, mas em outubro de 2025 o grupo hacktivista negou públicamente qualquer afiliacao. Em **marco de 2025**, o DragonForce se rebatizou como **"cartel de ransomware"** - uma mudança estrutural significativa que permite afiliados operar suas proprias marcas enquanto usam infraestrutura do cartel. O servico **RansomBay** oferece templates de sites de vazamento e branding personalizado. Em **agosto de 2025**, o grupo lancou um "servico de análise de dados" para criar materiais de extorsao personalizados para organizacoes com receita anual minima de US$ 15 milhões. O grupo absorveu afiliados do [[s1212-ransomhub|RansomHub]] (inativo desde abril 2025) e firmou coalição com [[lockbit|LockBit]] e [[qilin|Qilin]], criando o ecossistema ransomware mais integrado já documentado. Indicios apontam para infraestrutura russa - o grupo opera no forum RAMP (predominantemente russo) e proibe ataques a Russia e paises da CEI. ## Timeline de Evolução ```mermaid timeline title DragonForce - Linha do Tempo 2021-2022 : Hackativismo Malaysia : OpsBedil / OpsPatuk : Ataques a critica de infraestrutura Aug 2023 : Operação RaaS Iniciada : Variant LockBit 3.0 vazado : Primeiras vitimas documentadas Jun 2024 : Programa de Afiliados : 80 percent de resgates para afiliados : 93 vitimas no site de vazamento Mar 2025 : Rebranding para Cartel : RansomBay - white-label RaaS : Absorcao de RansomHub Apr 2025 : Ataques UK Retail : M&S, Co-op, Harrods : Scattered Spider como IAB Aug 2025 : Servico de Análise de Dados : Extorsao personalizada : Coalição LockBit-Qilin-DragonForce Mar 2026 : Alegacao ataque FGV Brasil ``` ## Attack Flow - Ataque RaaS Cartel ```mermaid graph TB A["🎯 Acesso Inicial<br/>T1190 Exploit CVE<br/>Ivanti / ScreenConnect"] --> B["🔑 Credenciais<br/>T1078 Contas Validas<br/>T1003 Dump LSASS/SAM"] B --> C["🔄 Movimentação Lateral<br/>T1021 RDP / PsExec<br/>AdFind + IP Scanner"] C --> D["🛡️ Evasão de Defesas<br/>T1562 BYOVD<br/>Desativa EDR/AV"] D --> E["💾 Exfiltração<br/>T1567 Upload MEGA<br/>Dupla extorsao"] E --> F["🔒 Criptografia<br/>T1486 AES-256<br/>.dragonforce_encrypted"] F --> G["💸 Extorsao<br/>Cartel + Afiliados<br/>DragonLeaks / RansomBay"] style A fill:#7b241c,color:#fff style B fill:#922b21,color:#fff style C fill:#a93226,color:#fff style D fill:#c0392b,color:#fff style E fill:#6c3483,color:#fff style F fill:#1a5276,color:#fff style G fill:#117a65,color:#fff ``` ## Campanhas Recentes | Campanha | Data | Alvo | Impacto | |----------|------|------|---------| | UK Retail Wave | Abr 2025 | Marks & Spencer, Co-op, Harrods | 300M libras em prejuizos (M&S); disrupcao de pagamentos e estoque | | RansomHub Absorption | Abr 2025 | Afiliados RansomHub | Expansao massiva de rede de afiliados | | LockBit-Qilin Coalition | 2025 | Global | Coordenacao de TTPs e alvos entre carteis | | Alegacao FGV Brasil | Mar 2026 | Fundacao Getulio Vargas | Reivindicacao públicada no DragonLeaks | > [!info] Parceria com Scattered Spider > Nos ataques ao varejo britanico de abril 2025, o [[g1015-scattered-spider|Scattered Spider]] atuou como **Initial Access Broker (IAB)** enquanto o DragonForce executou o deploy e a extorsao. Esse modelo de especializacao de papeis e uma caracteristica marcante do modelo cartel. ## Arsenal Tecnico | Ferramenta | Categoria | Uso | |-----------|-----------|-----| | [[s0154-cobalt-strike\|Cobalt Strike]] | C2 / RAT | Movimento lateral e controle de acesso | | [[mimikatz\|Mimikatz]] | Credenciais | Dump de LSASS/SAM | | Lazagne | Credenciais | Coleta de senhas armazenadas | | [[s0533-systembc\|SystemBC]] | Proxy/Backdoor | C2 anonimo e tunelamento | | AdFind | Reconhecimento | Enumeracao de AD e grupos de dominio | | Advanced IP Scanner | Reconhecimento | Descoberta de ativos na rede | | PsExec | Execução Remota | Deploy de payload em sistemas remotos | | SoftPerfect Network Scanner | Reconhecimento | Varredura de portas e servicos | | Schtasks.exe (LOTL) | Persistência | Criação de tarefas agendadas | | Taskkill.exe (LOTL) | Evasão | Terminacao de processos de segurança | ## TTPs Mapeados - **Acesso Inicial**: Exploração de aplicações públicas - Ivanti Connect Secure, SimpleHelp RMM ([[t1190-exploit-public-facing-application|T1190]]); contas válidas comprometidas ([[t1078-valid-accounts|T1078]]) - **Persistência**: Tarefas agendadas via schtasks.exe ([[t1053-005-scheduled-task|T1053.005]]); modificacao de power settings - **Escalacao de Privilegios**: Abuso de tokens DuplicateTokenEx/CreateProcessWithTokenW; BYOVD - **Evasão de Defesas**: Técnica BYOVD com drivers vulneraveis ([[t1562-impair-defenses|T1562]]); Living Off the Land (LOLBAS) - **Acesso a Credenciais**: Dump de LSASS/SAM via [[mimikatz|Mimikatz]] e Lazagne ([[t1003-os-credential-dumping|T1003]]) - **Descoberta**: AdFind, Advanced IP Scanner, Netscanold.exe ([[t1087-account-discovery|T1087]]) - **Movimentação Lateral**: RDP ([[t1021-remote-services|T1021]]), PsExec, [[s0154-cobalt-strike|Cobalt Strike]] - **Exfiltração**: Upload para MEGA e cloud storage ([[t1567-exfiltration-over-web-service|T1567]]) - **Impacto**: Criptografia AES-256 ([[t1486-data-encrypted-for-impact|T1486]]), delete de shadow copies ([[t1490-inhibit-system-recovery|T1490]]), stop de servicos - **C2**: [[s0533-systembc|SystemBC]], HTTP/HTTPS web protocols ([[t1059-command-and-scripting-interpreter|T1059]]) - **Transferencia**: Ingress tool transfer para scripts e ferramentas ([[t1105-ingress-tool-transfer|T1105]]) ## Modelo de Cartel - Diferencias > [!tip] O que distingue o DragonForce de outros grupos RaaS > - **White-label ransomware**: Afiliados podem criar marcas proprias usando a infraestrutura do cartel - tornando atribuicao mais dificil > - **RansomBay**: Servico de hosting de sites de vazamento para afiliados operarem anonimamente > - **Servico de análise de dados** (agosto 2025): Gera scripts de extorsao personalizados, cartas para gestao e "análises legais" - posicionamento como consultoria criminosa > - **Absorcao de rivais**: Estrategia de consolidar afiliados de grupos rivais (RansomHub) em vez de competir > - **Coalição LockBit-Qilin**: Compartilhamento de TTPs, infraestrutura e alvos entre grupos - modelo inedito no ecossistema ## Indicadores de Comprometimento - Extensao de arquivo: `.dragonforce_encrypted` - Codificacao Base32 em nomes de arquivo criptografados - Binario encriptador com chaves AES-256 únicas por maquina - Comúnicacoes C2 via [[s0533-systembc|SystemBC]] - Exfiltração via MEGA para volumes atipicos - Tarefas agendadas com nome "AdobeFlashSync" ou similares - Replicacao via midia removavel (USB drives) ## Relevância para o Brasil e LATAM > [!danger] Ameaça Ativa ao Brasil - ALTA PRIORIDADE > O DragonForce e um dos grupos de ransomware mais ativos globalmente em 2025-2026. A alegacao de ataque a FGV (Fundacao Getulio Vargas) em marco de 2026 confirma interesse imediato no Brasil. O modelo cartel do DragonForce cria múltiplos vetores de risco para o Brasil: 1. **Afiliados independentes** podem visar empresas brasileiras de manufatura, varejo e tecnologia sem envolvimento direto do nucleo do grupo 2. **RansomBay** permite que atacantes brasileiros ou regionais operem sob infraestrutura profissional sem desenvolver propria capacidade 3. O **modelo de extorsao personalizada** (servico de análise de dados) indica alvos selecionados por capacidade financeira - empresas brasileiras de grande porte 4. A **coalição com LockBit e Qilin** expande o pool de afiliados potencialmente operando no Brasil O setor de [[manufacturing|manufatura]], [[retail|varejo]], [[technology|tecnologia]] e [[government|governo]] brasileiro deve tratar DragonForce como ameaça prioritaria. Monitorar site DragonLeaks para vazamentos de dados de organizacoes nacionais. ## Detecção e Mitigação | Controle | Prioridade | Descrição | |---------|-----------|-----------| | Patching de VPN/RMM | CRITICA | Ivanti, SimpleHelp, Fortinet - vetor primario de acesso | | Backups offline imutaveis | CRITICA | Shadow copies sao sempre deletadas | | Segmentacao de rede | ALTA | Limita movimentação lateral via RDP/SMB | | DLP na camada de rede | ALTA | Detecta exfiltração para MEGA e cloud storage | | Monitoramento de BYOVD | ALTA | Detectar drivers vulneraveis carregados | | Politica de privilegio mínimo | MEDIA | Reduz impacto de dump de credenciais | | Monitoramento de tarefas agendadas | MEDIA | Detectar persistência via schtasks.exe | ## Referências - [1](https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-dragonforce) Trend Micro - Ransomware Spotlight: DragonForce (Water Tambanakua) - [2](https://www.levelblue.com/blogs/spiderlabs-blog/the-godfather-of-ransomware-inside-dragonforces-cartel-ambitions) LevelBlue/Cybereason - Inside DragonForce Cartel Ambitions - [3](https://www.quorumcyber.com/wp-content/uploads/2025/05/QC-DragonForce-Ransomware-Report.pdf) Quorum Cyber - DragonForce Ransomware Threat Intelligence Report - [4](https://blog.barracuda.com/2025/06/09/dragonforce-ransomware-cartel-vs--everybody) Barracuda - DragonForce Cartel vs Everybody - [5](https://businessinsights.bitdefender.com/dragonforce-ransomware-cartel) Bitdefender - DragonForce: The Ransomware Cartel - [6](https://www.sentinelone.com/blog/dragonforce-ransomware-gang-from-hacktivists-to-high-street-extortionists/) SentinelOne - From Hacktivists to High Street Extortionists - [7](https://www.nuharborsecurity.com/blog/the-ransomware-cartel-inside-the-lockbit-qilin-dragonforce-alliance) NuHarbor - LockBit-Qilin-DragonForce Alliance