Die Bedrohung durch Ransomware ist in den letzten Jahren zu einer der gravierendsten Herausforderungen in der Cybersicherheit geworden. DragonForce Ransomware zählt zu den neueren und hochentwickelten Malware-Familien, die durch ihre Kombination aus Verschlüsselung, Datenexfiltration und weitreichenden Verbreitungsmechanismen besonders gefährlich sind. Dieser Bericht beleuchtet die technischen Details von DragonForce, seine Verbreitungswege, den Verschlüsselungsprozess, die Kommunikationskanäle der Angreifer sowie die daraus resultierenden Risiken für individuelle Nutzer und Organisationen. DragonForce Ransomware wird hauptsächlich über Phishing-Kampagnen verbreitet. Die Angreifer nutzen hierbei täuschend echt wirkende E-Mails, welche vermeintlich von seriösen Unternehmen oder Dienstleistungen stammen.
Diese E-Mails enthalten entweder manipulierte Microsoft Office-Dokumente oder schädliche Links, die Opfer dazu bringen sollen, Makros zu aktivieren oder schädliche Inhalte herunterzuladen. Dabei setzen die Täter auf ausgeklügelte Social-Engineering-Techniken, um den Nutzer zur bewussten Aktivierung der Malware zu bewegen. Sobald DragonForce ausgeführt wird, beginnt die Malware umgehend mit ihrer Selbstverbreitung. Es nutzt Techniken aus dem MITRE ATT&CK Framework, um sich in verschiedenen Verzeichnissen zu replizieren und, sofern möglich, auch auf weitere Systeme im Netzwerk überzugreifen. So stellt der Schadcode sicher, dass der Schaden nicht auf ein einzelnes Gerät beschränkt bleibt, sondern größere IT-Netzwerke in Unternehmen betroffen sind.
Ein zentrales Merkmal der Malware ist ihre Fähigkeit, Persistenz auf dem System zu etablieren. DragonForce verändert Registry-Einträge und erzeugt sogenannte Scheduled Tasks, die gewährleisten, dass die Schadsoftware auch nach einem Neustart des Computers aktiv bleibt. Diese Vorgehensweise erschwert eine vollständige Entfernung der Malware und erhöht die Wahrscheinlichkeit einer erfolgreichen Erpressung. Die Ransomware zeigt zudem eine hohe Raffinesse bei der Umgehung von Sicherheitsmechanismen. Sie nutzt spezifische Methoden, um Antiviren- und Sicherheitstools zu deaktivieren oder zu umgehen.
Dazu gehören das Löschen von System-Logs, das Bereinigen von Event-Logs sowie das Ausführen von Schadcode in sogenannten fileless-Techniken, die keine permanenten Dateien auf der Festplatte hinterlassen. Diese Praktiken erschweren die Erkennung durch herkömmliche Sicherheitssoftware erheblich. Ein besonders gefährlicher Aspekt von DragonForce ist das Streben nach erhöhten Berechtigungen. Sobald die Malware mit Administratorprivilegien startet, versucht sie, diese zu Systemrechten hochzustufen. Mittels Access Token Manipulation wird ein bereits laufender Prozess mit SYSTEM-Rechten identifiziert und übernommen.
Durch das Duplizieren von Zugangsdaten kann DragonForce eine neue Instanz unter einem höheren Privilegienkontext ausführen. Dies eröffnet der Ransomware weitreichenden Zugriff auf das System und macht Sicherheitsmaßnahmen wie Benutzerkontensteuerung teilweise wirkungslos. Darüber hinaus nutzt DragonForce verschleierte Codetechniken. Der Schadcode ist häufig gepackt oder teilweise verschlüsselt, um die Analyse durch Sicherheitsforscher zu erschweren. Besonders bemerkenswert ist die Verwendung von chinesischen Schriftzeichen in Textsignaturen der Malware, was auf eine international zusammengesetzte Angriffsmethode oder Kooperation zwischen verschiedenen Tätergruppen hinweisen könnte.
Zusätzlich ist bekannt, dass Command and Control Server (C2) unter anderem in Iran gehostet werden, was auf eine breite Vernetzung der Cyberkriminellen hindeutet. Der Kernschwerpunkt von DragonForce liegt wie bei anderen Ransomware-Typen in der Verschlüsselung von Dateien. Hierbei kommen moderne und als sicher eingestufte Algorithmen wie AES-256 zum Einsatz, kombiniert mit RSA-Verschlüsselung für die Schlüsselverwaltung. Damit werden die Dateien so verändert, dass sie ohne den privaten Entschlüsselungsschlüssel unbrauchbar sind. Die verschlüsselten Dateien erhalten oft eine eigene Dateiendung, die auf die Infektion hinweist, beispielsweise .
dragonforce_encrypted. Zusätzlich wird die Verschlüsselung der Dateinamen verschleiert, indem DragonForce Base32-Codierung verwendet. Neben der Verschlüsselung sammelt die Ransomware umfangreiche Systeminformationen. Dies umfasst Daten zu installierten Programmen, laufenden Prozessen, Betriebssystemversionen, Benutzerkonten und Netzwerkkonfigurationen. Sensible Zugangsdaten und weitere Informationen werden ebenfalls erfasst und in Logdateien gespeichert, welche die Angreifer für spätere Analysen nutzen.
Dieser geheime Datendiebstahl ermöglicht es den Cyberkriminellen, zielgerichtete Angriffe durchzuführen und das Schadenspotenzial zu maximieren. Die Kommunikation mit den C2-Servern erfolgt über standardisierte Protokolle wie HTTP oder HTTPS. Diese Verbindungen dienen dazu, gestohlene Daten zu übertragen, Verschlüsselungsschlüssel zu verwalten und Updates oder neue Befehle von den Angreifern zu empfangen. Die Server befinden sich in verschiedenen Ländern, was eine Rückverfolgung erschwert und die Anonymität der Täter erhöht. DragonForce zeigt zudem eine ausgeprägte Fähigkeit zur lateralen Bewegung innerhalb von Netzwerken.
Der Schadcode nutzt bekannte Schwachstellen von Protokollen wie SMB oder Remote Desktop Protocol, um sich auf andere Systeme auszubreiten. Dabei werden gestohlene Zugangsdaten verwendet, um sich seitlich innerhalb des Unternehmensnetzwerks zu bewegen und weitere Geräte zu infizieren. Diese Strategie kann zu verheerenden Schäden führen, insbesondere in großen Organisationen mit vielen vernetzten Geräten. Nach Abschluss der Verschlüsselung hinterlässt DragonForce eine Lösegeldforderung in Form einer Textdatei, meistens README.txt, auf dem Desktop und in betroffenen Verzeichnissen.
Darin fordert der Erpresser ein Lösegeld in Bitcoin und verweist auf eine spezielle .onion-Webseite im Darknet, über die die Zahlung getätigt werden soll. Die Lösegeldforderungen können je nach Zielgruppe und Angriffsumfang variieren. Für die Identifikation der DragonForce-Infektion und die Abwehr sind sogenannte Indicators of Compromise (IOC) entscheidend. Zu diesen gehören spezifische IP-Adressen von Command and Control Servern, bekannte Dateihashes der Malware, ungewöhnliche Registry-Änderungen sowie die Existenz verdächtiger Logdateien an bestimmten Speicherorten.
Durch kontinuierliche Überwachung der Netzwerke auf diese Indikatoren kann ein schnelleres Erkennen und Gegensteuern erfolgen. Unternehmen wird empfohlen, vor allem auf mehrschichtige Sicherheitsstrategien zu setzen. Regelmäßige Aktualisierungen und Patches der Software verhindern, dass bekannte Sicherheitslücken von DragonForce ausgenutzt werden können. Auch die Überwachung des Netzwerkverkehrs auf Anomalien ist ein wichtiger Baustein zur Früherkennung. Datensicherungen sind unverzichtbar, um im Fall einer Infektion die Systeme schnell wiederherstellen zu können, ohne Lösegeld zu zahlen.
Neben technischen Maßnahmen spielt die Sensibilisierung der Mitarbeiter eine zentrale Rolle. Aufklärung darüber, wie Phishing-E-Mails erkannt und gemeldet werden, minimiert das Risiko einer Erstinfektion erheblich. Zudem sollten Zugriffsrechte nach dem Prinzip der minimalen Rechtevergabe verwaltet werden, um die Ausbreitung der Malware bei einem erfolgreichen Angriff einzuschränken. Im Gesamtkontext zeigt die Analyse von DragonForce, dass die Bedrohung durch Ransomware weiterhin dynamisch und komplex bleibt. Die Kombination aus ausgefeilter Techniken zur Verschleierung und Persistenz verbunden mit aktiven Datendiebstahls- und Ausbreitungsmechanismen stellt eine große Herausforderung für die Cybersicherheitslandschaft dar.
