Cyber güvenlik araştırmacıları, 2023 yılında ortaya çıkan ve kendisini bir “fidye yazılımı karteli” olarak tanımlayan DragonForce fidye yazılımını detaylı bir şekilde analiz etti.
DragonForce’ın Yükselişi
DragonForce, bir fidye yazılımı hizmeti (RaaS) olarak faaliyet göstermektedir. Grup, fidye yazılımı eylemlerini yeniden canlandırmış ve yer altı siber suç platformları aracılığıyla kötü niyetli iş birlikçilerini aktif olarak işe almaktadır. Başlangıçta, LockBit 3.0 yapım sürecini kullanarak kendi şifreleme araçlarını oluşturmuş, daha sonra ise Conti v3 kaynak kodunun modifiye edilmiş versiyonuna geçiş yapmıştır.
“Kartel” Olma Dönemi
2025 yılı itibarıyla DragonForce, kendisini bir “fidye yazılımı karteli” olarak yeniden markalaştırmıştır. Bu stratejik değişim, iş ortaklarına kazançlarının %80’ini sunarak, yeni ve deneyimsiz siber suçlular için giriş engelini düşürmektedir. Böylece daha fazla üye kazanmaya ve etkisini artırmaya yönelik bir model oluşturulmuştur.
DragonForce ve Scattered Spider İlişkisi
DragonForce’ın, sofistike sosyal mühendislik ve başlangıç erişim operasyonları ile bilinen Scattered Spider siber suç grubu ile olan ortaklığı, yüksek değerli hedeflere yönelik fidye yazılımı dağıtımlarının etkinliğini artırmaktadır. Scattered Spider, bir kuruluşun çalışanları üzerinde keşif yaparak, potansiyel hedefleri belirler ve ikna edici kişilikler geliştirir.
Sosyal Mühendislik Taktikleri
Grup, sosyal medya platformları ve açık kaynak istihbarat araçları aracılığıyla isimler, unvanlar gibi kamuya açık verileri toplar. Ardından, kredileri elde etmek veya sıfırlamak için gelişmiş sosyal mühendislik taktikleri uygular; çok faktörlü kimlik doğrulama (MFA) süreçlerini aşmak için MFA yorgunluğu veya SIM takası gibi yanıltıcı yöntemler kullanır.
İlk erişim sağlandıktan sonra, Scattered Spider, hedef olan kullanıcının hesabı ile oturum açar ve kendi cihazını kaydederek kalıcı erişim elde eder. Ardından, uzaktan izleme ve yönetim (RMM) araçları veya tünel hizmetleri kullanarak kuruluşa yerleşir. Örneğin, bu araçlar arasında ScreenConnect, AnyDesk, TeamViewer ve Splashtop yer alır.
Yenilikçi Saldırı Modelleri
Scattered Spider, AWS Sistem Yöneticisi Envanteri’ni kullanarak lateral hareket için ek sistemleri belirlemekte ve topladığı verileri merkezi bir veritabanına derleyip bu verileri saldırgan kontrolündeki MEGA veya Amazon S3 depolama servislerine dışarı aktarmaktadır. Bu süreç sonunda DragonForce fidye yazılımı kullanılmakta, Windows, Linux ve ESXi ortamlarındaki verileri şifrelemektedir.
Geçmişten Günümüze: Ransomware’in Evreleri
DragonForce, kurulumdan itibaren organizasyonları tehdit eden daha düzenli ve kalıcı bir tehdit oluşturmaktadır. Kartel tarzı bir işe alım modeli ve geniş ortaklıklarla birlikte, siber suç gruplarının işbirliği içinde çalıştıkları bir döneme geçiş yaşanmaktadır. Bu durum, savunma çabalarını karmaşık hale getirmektedir.
Sonuç ve Güvenlik Önlemleri
DragonForce ve Scattered Spider ikilisi, “kartelleşmiş” siber suçlar için bir uyanış çağrısıdır. BT güvenlik profesyonellerinin, savunma stratejilerini bu tür işbirlikçi modellerle ele alması gerekmektedir. MFA gibi phishing’e dayanıklı yöntemlerin uygulanması ve etkili son nokta tespit ve yanıt (EDR) çözümlerinin yoğun şekilde kullanılması önem kazanmaktadır. Saldırıların artık tekil varoluşlar değil, koordineli çok aşamalı müdahaleler olduğunu anlamak, güvenlik ekiplerinin hazırlıklı olmasını sağlayacaktır.
