ปัจจุบันกลุ่ม Ransomware กำลังมีการปรับโครงสร้างใหม่ โดยกลุ่ม Ransomware ในชื่อ DragonForce กำลังจัดตั้งกลุ่ม operations ย่อยต่าง ๆ ภายใต้โครงสร้างของกลุ่ม DragonForce Ransomware
DragonForce ได้เชิญชวนให้กลุ่ม Hacker และกลุ่ม Ransomware ต่าง ๆ มาร่วมเป็นพันธมิตร ทำให้สามารถดำเนินการในรูปแบบ Ransomware-as-a-service (RaaS) โดยที่ไม่จำเป็นต้องรับภาระทางด้านต้นทุนในการโจมตี และการบำรุงรักษาโครงสร้างพื้นฐาน
ตัวแทนของกลุ่ม DragonForce ได้ให้ข้อมูลกับทาง BleepingComputer ว่า กลุ่ม DragonForce Ransomware มุ่งเป้าหมายการโจมตีไปยังองค์กรทางการเงินเท่านั้น โดยจะไม่ทำการโจมตีองค์กรด้านการดูแลสุขภาพ ตามหลักคุณธรรมที่ทางกลุ่มยึดถือ
โดยทั่วไปแล้ว การดำเนินการ RaaS ของกลุ่ม Ransomware จะมีบริษัทในเครือ หรือพันธมิตรของตนเอง และผู้พัฒนา Ransomware จะเป็นผู้จัดหาซอฟต์แวร์เข้ารหัสไฟล์ และโครงสร้างพื้นฐาน พันธมิตรจะสร้างแพ็คเกจการเข้ารหัสรูปแบบหนึ่งเพื่อโจมตีเป้าหมาย และใช้ Ransomware รวมถึงยังเป็นผู้จัดการ decryption keys ที่ใช้เจรจาเรียกค่าไถ่เหยื่อที่ถูกโจมตี
นักพัฒนาของกลุ่ม Ransomware ยังดูแลเว็บไซต์ที่เรียกว่าเว็บไซต์ Data Leak Site (DLS) ซึ่งจะใช้เผยแพร่ข้อมูลที่ขโมยมาจากเหยื่อที่ไม่ได้จ่ายเงินเรียกค่าไถ่
ทั้งนี้ผู้พัฒนาของกลุ่ม Ransomware จะเรียกเก็บค่าธรรมเนียมจากพันธมิตรจากค่าไถ่ที่ได้รับจากเหยื่อ ซึ่งปกติจะสูงถึง 30%
ธุรกิจของ DragonForce Ransomware
ปัจจุบัน DragonForce เรียกตัวเองว่าเป็น “Ransomware Cartel” และเรียกรับรับเงินค่าไถ่ที่เหยื่อชำระอยู่ที่ 20%
ภายใต้โมเดลนี้ พันธมิตรจะสามารถเข้าถึงโครงสร้างพื้นฐานได้ (เครื่องมือการเจรจา, พื้นที่จัดเก็บข้อมูลที่ถูกขโมย, การจัดการมัลแวร์) และใช้ตัวเข้ารหัสของ DragonForce ภายใต้แบรนด์ของตนเองได้
กลุ่ม DragonForce ได้ประกาศทิศทางใหม่ในเดือนมีนาคม 2025 โดยบอกว่าพันธมิตรสามารถสร้างแบรนด์ของตนเองภายใต้การรับรองการเป็นพันธมิตรที่ผ่านการพิสูจน์แล้วได้
DragonForce มีเป้าหมายเพื่อสร้างแบรนด์อย่างไม่จำกัด ที่สามารถกำหนดเป้าหมายไปยังระบบ ESXi, NAS, BSD และ Windows
DragonForce ให้ข้อมูลกับ BleepingComputer ว่า โครงสร้างของพวกเขาถือเป็น marketplace โดยที่พันธมิตรสามารถเลือกที่จะใช้การโจมตีภายใต้แบรนด์ DragonForce หรือแบรนด์อื่นได้ ซึ่งโดยพื้นฐานแล้ว กลุ่ม Ransomware จะสามารถใช้บริการ และไวท์เลเบลภายใต้ชื่อของตนเองเพื่อให้ดูเหมือนว่าเป็นแบรนด์ของตนเอง รวมถึงไม่จำเป็นต้องจัดการกับปัญหาการรั่วไหลของข้อมูล และเว็บไซต์สำหรับการเจรจา การพัฒนาซอฟต์แวร์ที่เป็นอันตราย หรือการจัดการกับการเจรจาเรียกค่าไถ่
ทั้งนี้พันธมิตรของกลุ่ม DragonForce จำเป็นต้องปฏิบัติตามกฎเกณฑ์อย่างเคร่งครัด และพันธมิตรจะถูกไล่ออกทันทีหากทำผิดครั้งแรก รวมถึง DragonForce สามารถควบคุมปฏิบัติการได้ เนื่องจากทุกอย่างทำงานอยู่บนเซิร์ฟเวอร์ของ DragonForce
ซึ่งกฏเกณฑ์ และข้อกำหนดดังกล่าว มีไว้สำหรับพันธมิตรที่ใช้รูปแบบ Ransomware Business ที่เพิ่งมีการเสนอเท่านั้น
รวมไปถึงทาง BleepingComputer ได้สอบถามถึงการที่ไม่ตั้งเป้าหมายการโจมตีไปยังโรงพยาบาล หรือองค์กรดูแลสุขภาพ โดยกลุ่ม DragonForce ระบุว่า นโยบายดังกล่าวขึ้นอยู่กับประเภทของโรงพยาบาล และความน่าเห็นใจ โดยระบุว่า
“เราไม่โจมตีผู้ป่วยมะเร็ง หรืออะไรก็ตามที่เกี่ยวกับหัวใจ เรายินดีส่งเงินไปให้พวกเขา และช่วยเหลือพวกเขา เราอยู่ที่นี่เพื่อธุรกิจ และเงิน เราไม่ได้มาที่นี่เพื่อฆ่าคน และพันธมิตรของเราก็เช่นกัน”
นักวิจัยจากบริษัทด้านการรักษาความปลอดภัยทางไซเบอร์ Secureworks ระบุว่า โมเดลของ DragonForce จะสามารถดึงดูดกลุ่ม Ransomware มาเป็นพันธมิตรได้มากขึ้น เนื่องจากความยืดหยุ่นที่ช่วยให้พวกเขาสามารถใช้มัลแวร์ของตนเองได้โดยไม่ต้องสร้าง และบำรุงรักษาโครงสร้างพื้นฐานของตนเอง
ทั้งนี้ ยังไม่ชัดเจนว่ามีกลุ่มพันธมิตรด้าน Ransomware จำนวนเท่าใดที่ติดต่อไปยังกลุ่ม DragonForce เกี่ยวกับรูปแบบบริการใหม่นี้ แต่ทาง DragonForce ให้ข้อมูลกับทาง BleepingComputer ว่า ขณะนี้มีสามาชิกของพันธมิตรที่เป็นที่รู้จักเป็นอย่างดี รวมถึงกลุ่ม Ransomware รายใหม่ในชื่อ RansomBay ได้สมัครใช้โมเดลของ DragonForce แล้ว
ที่มา : bleepingcomputer
You must be logged in to post a comment.