Se ha observado una nueva cepa de ransomware llamada DragonForce utilizando un creador de ransomware filtrado del infame grupo de ransomware LockBit. La empresa de inteligencia sobre amenazas cibernéticas Cyble ha revelado que el grupo cibercriminal estaba utilizando un binario de ransomware basado en un creador filtrado del ransomware LockBit Black. Cyble compartió sus hallazgos después de investigar la actividad de DragonForce durante los últimos meses en una publicación de blog publicada el 24 de abril de 2024. Los creadores de ransomware filtrados son una amenaza importante LockBit Black, también conocido como LockBit 3.0, es la tercera versión del ransomware del grupo LockBit. Fue lanzado en marzo de 2022 y el desarrollador descontento del grupo lo filtró seis meses después. Los administradores de LockBit reaccionaron más tarde lanzando una nueva versión de su ransomware, llamada LockBit Green, pero más tarde se informó que era una mera versión renombrada de un cifrador Conti. Aunque la Operación Cronos, una operación internacional de aplicación de la ley, derribó la infraestructura del grupo LockBit en febrero de 2024, el constructor LockBit Black todavía está disponible para que todos lo utilicen. Cyble Research & Intelligence Labs (CRIL) concluyó que DragonForce ha estado aprovechando el constructor filtrado para desarrollar su propio conjunto de herramientas después de observar sorprendentes similitudes en la estructura del código y las funciones de su carga útil de ransomware y LockBit Black. “El descubrimiento del ransomware DragonForce y sus vínculos con el creador filtrado del ransomware LockBit Black subraya la creciente amenaza que plantea el abuso de herramientas de creación de malware filtradas en los ciberataques. La accesibilidad de dichas herramientas permite a los actores de amenazas personalizar e implementar cargas útiles de ransomware con facilidad, amplificando el panorama de riesgos para las organizaciones a nivel mundial”, escribieron los investigadores de Cyble. Leer más: Operación Cronos: ¿Quiénes son los administradores de LockBit? ¿Quién está detrás de DragonForce? El ransomware DragonForce se detectó por primera vez en noviembre de 2023. El grupo suele emplear una táctica de doble extorsión que implica la exfiltración de datos seguida de cifrado. Si la víctima no paga el rescate, el actor de la amenaza publica los datos de la víctima en su sitio de filtración. El grupo se ha reivindicado una serie de ataques de alto perfil, con objetivos como la Lotería de Ohio, Yakult Australia y Coca-Cola Singapur. En un giro inusual de los acontecimientos, tanto DragonForce como LockBit publicaron notas de rescate diciendo que habían comprometido los sistemas de TI del gobierno de Palau. Posteriormente, la presunta víctima negó las acusaciones. También existe un grupo hacktivista llamado DragonForce, con sede en Malasia, responsable de varias campañas maliciosas dirigidas a agencias y organizaciones gubernamentales en todo Oriente Medio y Asia en 2021 y 2022. Aunque este grupo anunció su intención de lanzar su propio ransomware en 2022, sigue siendo No está claro si las mismas personas están detrás de las dos entidades o si están vinculadas de alguna manera.