Jakarta, PCplus – DragonForce ransomware adalah kelompok ransomware-as-a-service (RaaS) yang aktif sejak 2023. Berawal dari penggunaan kode bocoran Conti dan LockBit, ransomware ini sekarang berevolusi menjadi sebuah kartel ransomware. Dengan model afiliasi, mereka menawarkan keuntungan hingga 80% bagi mitra, serta kemampuan untuk membuat varian ransomware sendiri. Strategi ini menjadikan DragonForce salah satu aktor paling berbahaya di ekosistem siber global.
Baca Juga: Waspada, Ransomware Ini Serang Kamera IP Kamu
Kolaborasi DragonForce dengan Scattered Spider
Salah satu faktor yang memperkuat posisi DragonForce ransomware adalah kemitraannya dengan Scattered Spider, kelompok kriminal siber yang dikenal dengan teknik phishing, SIM swapping, dan bypass MFA. Scattered Spider berperan sebagai initial access broker, membuka jalan bagi DragonForce untuk menyebarkan payload ke jaringan korban. Kolaborasi ini bahkan melibatkan kelompok lain seperti LAPSUS$ dan ShinyHunters, membentuk ekosistem kriminal yang disebut “Scattered LAPSUS$ Hunters”.
Teknik Serangan
DragonForce ransomware menggunakan berbagai teknik canggih untuk menembus sistem keamanan. Beberapa diantara yang berhasil dideteksi oleh perusahaan keamanan Acronis adalah sebagai berikut:
- BYOVD (Bring Your Own Vulnerable Driver): Memanfaatkan driver truesight.sys dan rentdrv2.sys untuk menonaktifkan antivirus dan EDR.
- Social Engineering: Melalui spear-phishing, vishing, dan MFA fatigue.
- Persistence Tools: Menggunakan aplikasi RMM seperti AnyDesk, TeamViewer, dan ScreenConnect.
- Eksfiltrasi Data: Menggunakan MEGA dan Amazon S3 sebagai repositori data curian.
- Enkripsi File: Menggunakan algoritma ChaCha20 dengan RSA untuk melindungi kunci enkripsi.
Sejak akhir 2023, lebih dari 200 korban dari berbagai sektor seperti ritel, maskapai, asuransi, dan MSP telah dipublikasikan di situs kebocoran DragonForce. Serangan besar terhadap Marks & Spencer dan Harrods menjadi bukti nyata kekuatan kartel ini. Dengan strategi rebranding sebagai kartel, DragonForce berhasil menarik lebih banyak afiliasi dan memperluas jangkauan serangan.
Persaingan dan Dominasi Kartel Ransomware
DragonForce tidak hanya memperkuat afiliasi, tetapi juga melakukan serangan terhadap pesaing. Mereka pernah mendeface situs kebocoran BlackLock dan mencoba mengambil alih infrastruktur RansomHub. Langkah ini menunjukkan ambisi DragonForce untuk menjadi pemain dominan dalam lanskap ransomware global.
DragonForce ransomware adalah ancaman nyata yang terus berkembang. Dengan strategi kartel, afiliasi kuat seperti Scattered Spider, serta teknik serangan canggih, DragonForce menjadi salah satu kelompok paling berbahaya di dunia siber saat ini. Organisasi di seluruh dunia harus meningkatkan kesadaran keamanan siber dan memperkuat sistem pertahanan untuk menghadapi ancaman ini.