dragonforce-ransomware

# DragonForce Ransomware - RaaS com Ataque ao Brasil (FGV 2026) > **ATIVO | RaaS | Multi-plataforma** - DragonForce é um grupo de ransomware-as-a-service ativo desde março de 2023, com modelo de double extortion e TTPs avançadas incluindo BYOVD. Em março de 2026, atacou a Fundação Getulio Vargas ([[dragonforce-fgv-2026]]) no Brasil. ## Visão Geral **DragonForce** é um grupo RaaS (Ransomware-as-a-Service) observado pela primeira vez em março de 2023. O grupo cresceu rapidamente em escala e sofisticação, utilizando um codebase flexível que incorpora técnicas avançadas como BYOVD (Bring Your Own Vulnerable Driver) para evasão de defesas. Em abril de 2025, atraiu afiliados do grupo RansomHub após um possível colapso deste, aumentando significativamente sua capacidade operacional. | Campo | Detalhe | |-------|---------| | **Tipo** | Ransomware-as-a-Service (RaaS) | | **Modelo** | Double extortion (criptografia + vazamento) | | **Primeira observação** | Março de 2023 | | **Status** | Ativo - alta atividade em 2025-2026 | | **Plataformas** | Windows, Linux | | **Fontes** | Trend Micro, CSIS, ZeroFox, Ransomware.live | ## Ataque ao Brasil - FGV (Março 2026) Em **2 de março de 2026**, o DragonForce reivindicou responsabilidade por ataque contra a **Fundação Getulio Vargas** (FGV), uma das mais renomadas instituições de ensino superior do Brasil: | Campo | Detalhe | |-------|---------| | **Alvo** | Fundação Getulio Vargas (fgv.br) | | **País** | Brasil | | **Data** | 2 de março de 2026 | | **Mensagem** | *"The full leak will be published soon, unless a company representative contacts us"* | | **Dados HudsonRock** | 151 funcionários comprometidos, 88.336 usuários expostos | ## TTPs Documentadas ### Acesso Inicial - **[[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]]** - exploração de vulnerabilidades em Ivanti Connect Secure e outros produtos expostos à internet - **[[t1078-valid-accounts|T1078 - Valid Accounts]]** - uso de contas legítimas comprometidas para manutenção de acesso - **T1189 - Drive-by Compromise** - usuários que baixaram software crackeado como vetor de infecção inicial ### Execução e Persistência - **T1059.003 - Windows Command Shell** - execução de comandos via cmd.exe, payloads de Cobalt Strike - **T1078.002 - Domain Accounts** - manutenção de acesso via credenciais de administrador de domínio comprometidas ### Evasão de Defesas (Técnica Diferencial) - **[[T1562.001 - Impair Defenses]]** - **BYOVD (Bring Your Own Vulnerable Driver)** - técnica distintiva que permite desabilitar soluções de segurança EDR/AV explorando drivers legítimos mas vulneráveis - **T1003.001 - LSASS Memory Dump** / **T1003.002 - SAM** - credential dumping via Mimikatz e LaZagne ### Reconhecimento e Movimentação Lateral - **T1595.002 - Vulnerability Scanning** - varredura de vulnerabilidades a partir de IPs específicos - **T1087 - Account Discovery** - uso da ferramenta AdFind para descoberta de contas e grupos - **T1018 - Remote System Discovery** - AdFind + Advanced IP Scanner - **[[T1021.001 - Remote Services RDP]]** - RDP para acesso remoto e movimentação lateral ### Exfiltração - **[[t1567-002-exfiltration-to-cloud-storage|T1567.002 - Exfiltration to Cloud Storage]]** - upload de dados exfiltrados para MEGA.nz - **T1657 - Exfiltration** - ferramenta customizada `winupdate.exe` (escrita em GoLang / Resti library) - Servidores FTP/SFTP e HTTP controlados pelos atacantes ### Impacto - **[[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]]** - ransomware binário para criptografar dados - **[[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]]** - deleção de Volume Shadow Copies, desabilitação de recovery - **T1489 - Service Stop** - uso de BYOVD para parar serviços de segurança ## Ferramentas e Infraestrutura | Ferramenta | Categoria | Uso | |-----------|-----------|-----| | Cobalt Strike | C2 framework | Execução de payloads e controle | | MEGA.nz | Exfiltração | Upload de dados roubados | | AdFind | Reconhecimento | Descoberta de Active Directory | | Advanced IP Scanner | Reconhecimento | Mapeamento de rede | | Mimikatz | Credenciais | Dumping de LSASS | | LaZagne | Credenciais | Extração de senhas armazenadas | | winupdate.exe | Exfiltração | Ferramenta customizada GoLang | | FileSeek | Descoberta | Busca de arquivos sensíveis | | RDP | Acesso remoto | Movimentação lateral | | AnyDesk | Acesso remoto | Persistência alternativa | ## Evolução e Contexto - **Q2 2025**: Crescimento explosivo - 51 ataques registrados (recorde trimestral). Em abril 2025, anunciou associação com afiliados do RansomHub - **Reino Unido (junho 2025)**: Ataques de alto perfil contra varejistas britânicos (Marks & Spencer, Harrods, Co-op) - demonstração de capacidade contra alvos de alto valor - **Brasil (março 2026)**: FGV ataque - demonstração de expansão para América Latina ## Detecção - Monitorar uso de BYOVD: alertar sobre carregamento de drivers vulneráveis conhecidos (lista LOLBAS) por processos não-sistema em combinação com desabilitação de serviços de segurança (T1562.001) - Detectar execuções de AdFind e Advanced IP Scanner fora de contextos de administração de TI reconhecidos - precursores documentados de movimentação lateral do DragonForce - Alertar sobre upload massivo de arquivos para MEGA.nz ou outros serviços de nuvem por processos não-usuário (T1567.002) - Monitorar exclusão de Volume Shadow Copies via vssadmin e wmic antes ou durante atividade de criptografia (T1490) - Correlacionar presença de Cobalt Strike beacons com tentativas subsequentes de exploração de vulnerabilidades em aplicações expostas à internet (T1190) ## Relevância LATAM/Brasil O ataque ao Brasil pela [[dragonforce-fgv-2026|campanha DragonForce-FGV em março de 2026]] confirma a expansão ativa do grupo para a América Latina. O setor de educação superior brasileiro - com dados de centenas de milhares de alunos, pesquisadores e funcionários - é um alvo de alto valor para grupos de double extortion. Além da educação, o crescimento do DragonForce (51 ataques em Q2 2025) e sua absorção de afiliados do RansomHub sugere capacidade crescente para atingir múltiplos setores no Brasil, incluindo governo, varejo e tecnologia. Organizações brasileiras devem priorizar proteção contra exploração de VPNs, RDP e aplicações expostas - vetores primários do grupo. ## Referências - Trend Micro Spotlight: https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-dragonforce - Ransomware.live: https://www.ransomware.live/id/Zmd2LmJyQGRyYWdvbmZvcmNl - dexpose.io: https://www.dexpose.io/dragonforce-ransomware-attack-targets-fundacao-getulio-vargas/ - CSIS Research: https://www.csis.com/csis-tech-blog/csis-research-dragonforce-ransomware-ttps - ZeroFox Q2 2025 Ransomware Wrap-up ## Wikilinks de Contexto - [[dragonforce-fgv-2026]] - campanha: ataque DragonForce à FGV Brasil - [[exitium-ransomware]] - grupo similar atacando setor agroindustrial brasileiro - [[lockbit]] - grupo RaaS de referência com histórico LATAM - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - técnica principal de ransomware - [[T1562.001 - Impair Defenses Disable or Modify Tools]] - BYOVD como técnica diferencial - [[_malware]] - índice de malware no vault - [[_playbooks]] - playbooks de resposta a ransomware