Ransomware DragonForce xuất hiện vào tháng 11/2023, sử dụng chiến thuật tống tiền kép – đánh cắp dữ liệu sau đó mã hóa, rò rỉ dữ liệu của nạn nhân nếu không nhận được tiền chuộc.
Phân tích mới đây của các nhà nghiên cứu an ninh mạng Cyble cho thấy, tệp nhị phân của DragonForce dựa trên builder LOCKBIT Black bị rò rỉ, cho phép tùy chỉnh chế độ mã hóa, xáo trộn tên file, mạo danh tiến trình, loại trừ tệp và thư mục, cũng như tạo template đòi tiền chuộc.
Sau khi thực thi, mã độc sẽ dừng nhiều tiến trình và dịch vụ như Oracle, ứng dụng Microsoft Office, phần mềm chống antivirus, thậm chí cả các giải pháp sao lưu nhằm tăng tốc độ mã hóa.
Các tệp mã hóa được đặt tên ngẫu nhiên, theo sau là phần mở rộng ‘.AoVOpni2N’. Hacker cũng đặt một thông báo đòi tiền chuộc có tên ‘AoVOpni2N.README.txt’ vào mỗi thư mục bị mã hóa, hướng dẫn cách thanh toán để được giải mã.
Có thể thấy, việc builder mã độc bị rò rỉ gây ra hậu quả nghiêm trọng khi hacker có thể tạo ra ransomware được cá nhân hóa một cách nhanh chóng, dễ dàng.
Nguồn: GBhackers