storm-0844 - RunkIntel

# Storm-0844 > [!warning] Resumo Executivo > Storm-0844 e o tracking da Microsoft para um afiliado do ecossistema **DragonForce RaaS** - um dos grupos de ransomware de crescimento mais rapido desde 2023. O DragonForce, originado possívelmente do grupo hacktivista DragonForce Malaysia, lancou programa de afiliados em junho 2024 e evoluiu para um modelo de **"Ransomware Cartel"** em marco 2025 - oferecendo infraestrutura white-label para afiliados usarem sua propria marca. Afiliados Storm-0844 ganharam notoriedade em abril-maio 2025 com ataques a grandes varejistas britanicos (Marks & Spencer, Co-op, Harrods), causando disrupcao de semanas. O grupo usa BYOVD para desabilitar EDR e tem conexoes operacionais com **Scattered Spider (UNC3944)**. ## Visão Geral **Storm-0844** opera dentro do ecossistema DragonForce como afiliado - usando a infraestrutura, malware e servicos de negociacao da plataforma em troca de 20% do ransom. O DragonForce, por sua vez, e um grupo financeiramente motivado com origens em hacktivismo (DragonForce Malaysia - OpsBedil, OpsPatuk em 2022-2023) que transicionou para eCrime puro. ### Modelo DragonForce Cartel (2025) O DragonForce inovou com modelo de "cartel" que StORM-0844 e outros afiliados usam: - **White-label ransomware**: Afiliados compilam binarios com sua propria branding, nota de ransom customizada e extensao de arquivo única - **RansomBay**: Plataforma de leak site como servico - afiliados tem site TOR proprio sob a infraestrutura DragonForce - **80/20 split**: Afiliados recebem 80% do ransom - **Pre-built infra**: Ferramentas de negociacao, storage criptografado, suporte Este modelo explica por que ataques DragonForce tem TTPs variaveis - cada afiliado tem nivel de sofisticacao diferente. ### Base Técnica do Ransomware O ransomware DragonForce tem duas variantes principais: 1. **Fork LockBit 3.0**: Para a maioria dos alvos Windows 2. **Fork Conti V3 com BYOVD**: Incorpora técnicas de Bring Your Own Vulnerable Driver para terminar processos de segurança - mais sofisticado ## Attack Flow ```mermaid graph TB A["🎭 Social Engineering Vishing IT helpdesk ou spearphishing T1566.004"] --> B["🔑 Valid Credentials MFA bypass / helpdesk reset VPN/RDP access T1078"] B --> C["📦 Cobalt Strike PowerShell download Beacon deploy T1059.001"] C --> D["🔍 Active Directory AdFind + netscanold SAM dump T1003.002"] D --> E["🛡️ EDR Disable BYOVD: TrueSight.sys RentDrv.sys T1562.001"] E --> F["💾 Data Exfil MEGA / FTP / SFTP Custom tool T1048"] F --> G["🔒 Double Extortion DragonForce ransomware VSS deletion T1486/T1490"] style A fill:#7b241c,color:#fff style B fill:#922b21,color:#fff style C fill:#a93226,color:#fff style D fill:#e67e22,color:#fff style E fill:#1a5276,color:#fff style F fill:#6c3483,color:#fff style G fill:#117a65,color:#fff ``` ## Timeline ```mermaid timeline title Storm-0844 / DragonForce - Cronologia Ago 2023 : DragonForce emerge : Ataca setores criticos : Fork LockBit 3.0 Jun 2024 : Programa de afiliados lancado : 80% revenue para afiliados : RAMP forum anuncio 2024 : 82+ organizacoes comprometidas : Manufacturing, real estate, transporte : EUA, UK, Australia, Malaysia, Alemanha Mar 2025 : Rebrand como Ransomware Cartel : RansomBay - white-label leak sites : RAMP forum logo incorporado Abr-Mai 2025 : Ataques UK retail : Marks & Spencer : Co-op Group : Harrods : Scattered Spider como afiliado Abr 2025 : RansomHub desaparece : DragonForce absorve afiliados : Crescimento acelerado 2025-2026 : Expansao global : Investigacoes em andamento ``` ## Ataque Marks & Spencer (Abril 2025) O ataque ao M&S e o caso mais documentado ligado a afiliados DragonForce/Scattered Spider: 1. **Acesso**: Credenciais obtidas via engenharia social ou SSO phishing; possívelmente NTDS.dit extraido com `ntdsutil` 2. **Escalacao**: Uso do NTDS.dit para crack de credenciais de domain admin 3. **Reconhecimento**: AdFind para enumeracao de AD; scanner de rede para mapear ativos 4. **Persistência**: Contas de servico criadas; AnyDesk instalado para acesso persistente 5. **Exfiltração**: Dados sensiveis exfiltrados antes da encriptacao 6. **Impacto**: E-commerce offline por dias; programa de fidelidade indisponível; estimativa de perdas >US$400M em valor de mercado ## Arsenal | Ferramenta | Uso | |-----------|-----| | [[dragonforce-ransomware\|DragonForce ransomware]] | Windows (LockBit fork) e Conti fork com BYOVD | | [[s0154-cobalt-strike\|Cobalt Strike]] | Post-exploitation, lateral movement, beaconing | | [[s0533-systembc\|SystemBC]] | C2 RAT e proxy para evasão de detecção de rede | | [[mimikatz\|Mimikatz]] | Credential dumping (LSASS) | | LaZagne | Credential harvesting | | AdFind | Active Directory enumeration | | netscanold.exe | Network scanning | | PCHunter / ProcessHacker | Process enumeration e evasão | | TrueSight.sys / RentDrv.sys | Drivers vulneraveis para BYOVD | | AnyDesk | Acesso remoto persistente | | MEGA.nz / FTP/SFTP | Exfiltração de dados | | winupdate.exe (custom) | Ferramenta de exfiltração em GoLang/Restic | | FileSeek | File discovery antes de exfiltração | ## TTPs Detalhados ### Acesso Inicial - **Vishing (T1566.004)**: Ligacoes para IT helpdesk impersonando funcionarios para reset de credenciais - técnica dos afiliados Scattered Spider - **Spearphishing SSO**: Emails com link para portal SSO falso colhendo credenciais válidas ([[t1566-001-spearphishing-attachment|T1566.001]]) - **Credenciais válidas de IAB**: Compra de acesso de initial access brokers ([[t1078-valid-accounts|T1078]]) - **Exploits em aplicações expostas**: RDP, VPN, Apache, Ivanti, Windows SmartScreen ([[t1190-exploit-public-facing-application|T1190]]) ### Evasão de Defesas - **BYOVD com TrueSight.sys**: Usar driver Zemana AntiMalware vulnerável para terminar processos de EDR ([[t1562-001-disable-or-modify-tools|T1562.001]]) - **BYOVD com RentDrv.sys**: Driver alternativo para evasão mais silenciosa - **CVE-2025-0289**: Exploração de Paragon Partition Manager para escalacao via driver vulnerável ### Exfiltração e Impacto - **Double extortion**: Dados exfiltrados + encriptacao (pagam para decrypt E para nao públicar) - **VSS deletion**: Removes volume shadow copies para impedir recuperacao ([[t1490-inhibit-system-recovery|T1490]]) - **MEGA cloud**: Upload de dados para MEGA antes de ransom - **Chamadas de intimidacao**: Grupo faz chamadas gravadas para vitimas como pressao adicional ## Relevância para o Brasil e LATAM Storm-0844/DragonForce representa ameaça **emergente e crescente** para o Brasil: 1. **Expansao global agressiva**: Desde a absorcao de afiliados RansomHub em abril 2025, o grupo expandiu presenca - América Latina como proximo foco natural 2. **Modelo white-label amplia alcance**: Qualquer afiliado pode usar infra DragonForce - grupos locais brasileiros podem se tornar afiliados 3. **Setores expostos**: Varejo, manufatura e tecnologia - tres dos setores mais ativos no Brasil - sao os alvos preferidos do grupo 4. **Scattered Spider como vetor**: A técnica de vishing para reset de MFA e extremamente eficaz em empresas brasileiras com suporte de TI centralizado 5. **Custo de disrupcao**: M&S perdeu >US$400M em valor de mercado - impacto de um ataque similar em varejista brasileiro seria devastador > [!tip] Mitigação Prioritaria > Implementar treinamento anti-vishing para equipes de IT helpdesk. Qualquer solicitacao de reset de credenciais deve requerer verificação out-of-band independente. Monitorar carregamento de drivers nao assinados ou suspeitos. ## Detecção | Indicador | Técnica | |-----------|---------| | TrueSight.sys ou RentDrv.sys carregados de path incomum | T1562.001 BYOVD | | DeviceIoControl de processo nao-sistema para driver de segurança | T1562.001 | | NTDS.dit acessado por processo fora de NTDS | T1003.003 | | PowerShell baixando e executando binario de URL externa | T1059.001 | | AnyDesk instalado como servico Windows | T1219 | | AdFind.exe executado em contexto de usuario nao-admin | T1087 | | Arquivo de ransom note "readme.txt" em paths web (inetpub, wwwroot) | T1486 | | Exfiltração SSH para IP em ASN Proton66 (AS198953) | T1048 | ## Referências - [1](https://www.bridewell.com/insights/blogs/detail/who-are-dragonforce-ransomware-group) Bridewell - DragonForce Profile: TTPs e UK Attacks (2025) - [2](https://www.quorumcyber.com/wp-content/uploads/2025/05/QC-DragonForce-Ransomware-Report.pdf) Quorum Cyber - DragonForce Threat Intelligence Report (2025) - [3](https://blog.checkpoint.com/security/dragonforce-ransomware-redefining-hybrid-extortion-in-2025/) Check Point - DragonForce: Hybrid Extortion Redefined (2025) - [4](https://blog.alphahunt.io/dragonforce-ransomware-byovd-weaponization-affiliate-expansion-and-edr-evasion-in-2025/) AlphaHunt - BYOVD e Expansao DragonForce (2025) - [5](https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-dragonforce) Trend Micro - Ransomware Spotlight: DragonForce (2025) - [6](https://www.darktrace.com/blog/tracking-a-dragon-investigating-a-dragonforce-affiliated-ransomware-attack-with-darktrace) Darktrace - Investigando Ataque DragonForce em Manufacturing (2025)