L'évolution récente du paysage de la cybersécurité a mis en lumière la résurgence de DragonForce, une entité proposant des services de ransomware (RaaS) apparue initialement en 2023. S'appuyant sur l'architecture dérivée du tristement célèbre ransomware Conti, DragonForce s'est positionnée comme un cartel du ransomware et s'est alliée à d'autres organisations cybercriminelles importantes, telles que Scattered Spider, pour lancer des attaques à l'échelle mondiale. Ce groupe s'est rapidement fait connaître pour ses méthodes sophistiquées et sa capacité d'adaptation et d'évolution, ce qui en fait un acteur majeur de la cybercriminalité.
La transformation en cartel marque une évolution stratégique, permettant une approche de marque blanche où les affiliés peuvent créer des charges utiles et des variantes comme Devman et Mamona/Global sous l'égide de DragonForce. Cette stratégie permet non seulement à DragonForce de consolider sa position d'acteur incontournable de l'écosystème de la cybercriminalité, mais aussi de renforcer son emprise en s'attaquant notamment aux groupes concurrents. La structure de type cartel favorise une diffusion rapide des technologies de ransomware innovantes, ce qui accélère la sophistication des attaques.
Il existe une importante continuité entre DragonForce et d'autres groupes de ransomware comme LockBit Green, due à leur origine commune via le code source divulgué de Conti v3. Il en résulte des comportements opérationnels similaires et des recoupements techniques, comme en témoignent les plus de 200 victimes recensées sur leur site de fuite, issues de divers secteurs tels que la distribution, le transport aérien, l'assurance et les services gérés. Les entreprises de toutes tailles sont désormais vulnérables, soulignant la nécessité de mettre en place des mesures de cybersécurité robustes.
Dans ses modes opératoires, DragonForce a adopté des tactiques sophistiquées, notamment des attaques BYOVD (Bring-Your-Own-Vulnerable-Driver), pour interrompre les processus utilisant des pilotes vulnérables tels que truesight.sys et rentdrv2.sys. Cette sophistication technique s'accompagne de tactiques d'expansion stratégiques, leur permettant d'impliquer un réseau plus diversifié de partenaires et de compliquer ainsi le travail d'attribution des équipes de cyberdéfense. La capacité d'exploiter les vulnérabilités existantes au sein des pilotes illustre les approches novatrices que ces groupes sont prêts à employer pour compromettre les systèmes.
La collaboration avec des groupes comme Scattered Spider renforce encore les capacités de DragonForce. Connu pour fournir un accès réseau initial permettant le déploiement de ransomwares, Scattered Spider combine des techniques de phishing, d'échange de cartes SIM et d'ingénierie sociale pour s'introduire dans les réseaux d'entreprise. Ces partenariats témoignent d'une évolution des opérations isolées vers des attaques collaboratives, augmentant ainsi le niveau de menace potentiel auquel sont confrontées les entreprises du monde entier. De telles alliances permettent le partage de renseignements et de ressources, rendant les attaques plus efficaces et plus difficiles à prévenir.
Les outils utilisés comprennent diverses applications de surveillance et de gestion à distance (RMM) garantissant un accès permanent aux environnements compromis. Une fois ces points d'entrée établis, une reconnaissance approfondie est menée afin de cartographier les ressources et les vulnérabilités du réseau, facilitant ainsi les déplacements latéraux et l'exfiltration de données. Cette planification méticuleuse aboutit à des attaques d'envergure qui non seulement renforcent la réputation des acteurs malveillants impliqués, mais placent également les organisations ciblées dans une situation de défense délicate. Les entreprises se retrouvent souvent contraintes de réagir aux menaces plutôt que de sécuriser proactivement leurs réseaux.
Les efforts de repositionnement de DragonForce et ses partenariats stratégiques témoignent d'un paysage de menaces de plus en plus complexe dans le domaine des ransomwares. La multiplication des affiliés, conjuguée à l'infrastructure et aux outils du groupe – notamment ceux dérivés du code Conti modifié – favorise l'émergence de nouvelles variantes de ransomware comme Devman, alimentant ainsi un écosystème de développement continu des menaces. Cette capacité d'adaptation représente un risque important, les attaquants cherchant constamment à contourner la détection et les contre-mesures.
La situation actuelle reflète une tendance plus large en matière de cybercriminalité : la formation d’alliances stratégiques entre groupes, passant d’une concurrence féroce à des réseaux collaboratifs puissants capables de perpétrer des intrusions majeures et médiatisées. Cette cartellisation en constante évolution exige une vigilance accrue et des contre-mesures stratégiques de la part des professionnels de la cybersécurité, soucieux de protéger les actifs dans un environnement numérique toujours plus complexe. Pour lutter efficacement contre ces menaces, les organisations doivent adopter une approche globale de la cybersécurité, incluant la formation, les mises à jour logicielles et la planification de la réponse aux incidents.
Face à l'évolution constante des cybermenaces, il est crucial pour les organisations de comprendre les implications de cette entente illicite. L'émergence de DragonForce souligne la nécessité pour les entreprises de rester agiles et informées des dernières menaces en matière de cybersécurité. Des évaluations régulières des menaces, une surveillance du réseau et la formation des employés à la détection des tentatives d'hameçonnage peuvent contribuer significativement à la prévention des attaques.
De plus, faire appel à des experts en sécurité externes pour réaliser des tests d'intrusion et des évaluations de vulnérabilité offre une protection supplémentaire contre ces attaques sophistiquées. L'utilisation d'outils de sécurité avancés, tels que les solutions de détection et de réponse aux incidents sur les terminaux (EDR), permet d'identifier et d'isoler les menaces avant qu'elles ne causent des dommages importants. Investir dans des mesures de cybersécurité robustes peut éviter aux entreprises des violations de données dévastatrices susceptibles d'entraîner des pertes financières considérables et une atteinte grave à leur réputation.
Les agences gouvernementales et les chefs d'entreprise intensifient leurs efforts pour lutter contre ces menaces croissantes en partageant des renseignements et en élaborant des cadres pour de meilleures stratégies de défense. Les initiatives visant à améliorer la collaboration entre les secteurs public et privé sont essentielles pour former un front uni contre les attaques de rançongiciels, car les répercussions de ces incidents dépassent largement le cadre des organisations individuelles et affectent des économies et des sociétés entières.
En conclusion, face à l'évolution et à l'adaptation constantes de DragonForce et d'entités similaires, il est impératif pour les entreprises et les professionnels de la cybersécurité de garder une longueur d'avance. En adoptant des stratégies de cybersécurité proactives et globales, les organisations peuvent mieux se préparer à relever les défis posés par ces cartels de ransomware sophistiqués. La lutte contre la cybercriminalité est permanente et la vigilance doit rester une priorité pour protéger les données sensibles et maintenir l'intégrité opérationnelle dans un monde de plus en plus interconnecté.
