DragonForce i Anubis Ransomware inovacije

Ozloglašene grupe za distribuciju ucjenjivačkog softvera (eng. ransomware) DragonForce i Anubis su redizajnirale svoje poslovne modele kako bi ostale ispred agencija za sprovođenje zakona. Prema sigurnosnim istraživačima kompanije Secureworks, ove operacije sada nude niz opcija za podjelu prihoda za partnere, što ističe rastuću sofisticiranost zlonamjernih aktera.

DRAGONFORCE

DragonForce je malezijska grupa zlonamjernih aktera za distribuciju ucjenjivačkog softvera, jedinstvena po svojoj mješavini aktivizma i sajber kriminala. Ovaj haktivistički kolektiv koristi digitalna sredstva za unapređenje svoje propalestinske stvari, ciljajući entitete iz Izraela i Indije različitim oblicima napada kao što su neovlaštene izmjene internet stranica (eng. defacement), distribuirani napad uskraćivanjem resursa (eng. distributed denial of service – DDoS) i objavljivanje ukradenih podataka.

Uz reputaciju ozloglašene grupe zlonamjernih aktera u svetu sajber kriminala, DragonForce operacije odražavaju posvećenost ne samo izazivanju poremećaja već i davanju političkih izjava putem digitalnih sredstava. Ova kombinacija aktivizma i sajber kriminala svrstava ih u jedinstvenu kategoriju haktivista, gdje političke motivacije pokreću njihove napade koliko i, ako ne i više, finansijska dobit.

 

Novi poslovni model

DragonForce sprovodi svoje operacija po modelu ucjenjivački softver kao usluga (eng. ransomware-as-a-service – RaaS), međutim 19. marta 2025. godine, grupa je najavila svoje rebrendiranje u “kartel” otkrivajući novi model koji omogućava partnerima da kreiraju sopstvene brendove. Ova značajna promjena označava značajno odstupanje od konvencionalnih šema po modelu ucjenjivački softver kao usluga (RaaS) i osmišljena je da privuče širi spektar zlonamjernih aktera.

U ovom novom modelu poslovanja, DragonForce obezbjeđuje tehničku infrastrukturu neophodnu za uspješne operacije ucjenjivačkog softvera. Partnerima se odobrava pristup administrativnim i klijentskim panelima, alatima za šifrovanje i pregovore o otkupnini, sistemu za skladištenje datoteka, internet lokaciji za curenje informacija zasnovanoj na Tor platformi i uslugama pune podrške.

Ovaj sveobuhvatni paket omogućava partnerima da primjene ili DragonForce ucjenjivački softver ili sopstveni zlonamjerni softver po izboru, dajući im fleksibilnost u metodologiji napada. Obezbjeđivanjem uspostavljene tehničke osnove za one sa ograničenim tehničkim vještinama, a istovremeno nudeći infrastrukturnu podršku bez tereta izgradnje i održavanja sopstvenih sistema, DragonForce efikasno smanjuje operativne barijere i širi svoju bazu partnera.

Iako ovaj novi distribuirani model može izgledati kao dobitna strategija za DragonForce, neophodno je razmotriti potencijalne rizike. Dijeljenjem okruženja sa više partnera, uvijek postoji mogućnost operativnog kompromitovanja koje bi moglo ugroziti bezbjednost i anonimnost drugih. Ovo povećava izloženost ne samo za pojedinačne partnere već i za grupu u cjelini. U današnjem međusobno povezanom svetu, jedan ugroženi partner može imati dalekosežne posljedice za sve ostale, o čemu će DragonForce zlonamjerni akteri svakako morati voditi računa.

 

ANUBIS

Anubis grupa zlonamjernih aktera se bavi operacijama ucjenjivačkog softvera, a dospjela je na naslovne strane zbog svojih drskih taktika i sofisticiranih tehnika. Ova grupa zlonamjernih aktera se pojavila kao značajna prijetnja u svetu sajber kriminala, koristeći napredne metode izbjegavanja i strategije iznude podataka kako bi se infiltrirala u sisteme, šifrovala datoteke i zahtevala velike otkupnine od nepažljivih žrtava.

Anubis ucjenjivački softver karakteriše se svojom prilagodljivošću i spremnošću da eksperimentiše sa različitim modelima za ostvarivanje prihoda. Pored tradicionalnih plaćanja otkupnine, poznato je da se ova grupa bavi taktikama dvostruke iznude, otkrivajući ukradene podatke u slučajevima kada se otkupnina ne plati. Njihove operacije takođe uključuju partnerske programe za ucjenjivački softver i prihode od pristupa, što dodatno komplikuje pejzaž prijetnji. Kao nova sila u sajber kriminalu, Anubis predstavlja značajan rizik za organizacije širom sveta, naglašavajući potrebu za robusnim mjerama sajber bezbjednosti i budnošću protiv prijetnji koje se stalno razvijaju.

 

Trostruki model prihoda

Anubis grupa zlonamjernih aktera je usvojila trostruki partnerski model, prvi put objavljen na forumima na mračnom internetu u februaru 2025. godine. Ovaj novi pristup omogućava partnerima da biraju između tri različite opcije:

• Klasični model ucjenjivački softver kao usluga (RaaS) sa provizijom za otkup od 80%;
• Opcija “otkup podataka” samo za krađu podataka gdje partneri prikupljaju 60% prihoda objavljivanjem istraživačkih članaka koji analiziraju ukradene osjetljive podatke na Tor internet lokacijama zaštićenim lozinkom;
• Usluga “prihoda od pristupa” koja nudi 50% udjela za pomoć u iznudi nakon kompromitovanja. Ova opcija cilja zlonamjerne aktere koji već imaju pristup žrtvi, pružajući im alate za analizu podataka kako bi povećali pritisak na pregovore o otkupu.

Uvođenje varijante “otkup podataka” označava značajnu inovaciju u taktikama Anubis zlonamjernih aktera, jer generiše istraživačke članke koji analiziraju ukradene osjetljive podatke kako bi izvršio pritisak na žrtve. Ovaj pristup ne samo da povećava vjerovatnoću uspješne iznude, već i pokreće zabrinutost zbog potencijalne štete za reputaciju i regulatorne kontrole. Preteći da će obavijestiti ne samo kupce žrtava, već i regulatorne organe, Anubis je eskalirao svoje taktike iznude do neviđenih nivoa.

Anubis partnerski model je dizajniran da privuče širok spektar zlonamjernih aktera, od onih sa ograničenim tehničkim znanjem koji imaju koristi od uspostavljene tehničke osnove do vještih operatera koji traže infrastrukturnu podršku bez tereta izgradnje i održavanja sopstvenih sistema. Nudeći tri različite opcije, Anubis je stvorio višeslojnu šemu iznude koja zadovoljava različite nivoe vještina i preferencija.

UTICAJ

Uticaj DragonForce i Anubis operacija na sajber bezbjednost predstavlja značajnu brigu za organizacije širom svijeta. Ove grupe su pokazale izuzetnu prilagodljivost razvijajući svoje poslovne modele kako bi izbjegle poremećaje i povećale profit, uprkos globalnom suzbijanju sajber kriminala od strane agencija za sprovođenje zakona.

Jedan od najznačajnijih razvoja u ovoj oblasti je uvođenje sofisticiranih partnerskih programa osmišljenih da prošire doseg i uticaj ovih operacija ucjenjivačkog softvera. DragonForce i Anubis su usavršili svoje marketinške pristupe kako bi se pozicionirali kao potpuno razvijene servisne platforme, nudeći različite modele raspodjele prihoda koji zadovoljavaju spektar zlonamjernih aktera. Ovaj pristup odražava kako se operateri ucjenjivačkog softvera ponašaju kao “prave” kompanije, a neke grupe čak organizuju i penetracijsko testiranje da testiraju svoj zlonamjerni softver na ranjivosti prije nego što ga primjene.

Implikacije ovog trenda su veoma zabrinjavajuće. Kako ove grupe postaju sve sofisticiranije u načinu na koji plasiraju svoje usluge potencijalnim partnerima, organizacije se mogu suočiti sa složenijim i koordinisanijim pejzažnom prijetnji. Profesionalizacija sajber kriminala je zabrinjavajući razvoj koji naglašava potrebu za poboljšanim otkrivanjem, reagovanjem na incidente i međunarodnom saradnjom kako bi se suprotstavili rastućoj sofisticiranosti takvih prijetnji.

Činjenica da se DragonForce i Anubis sada pozicioniraju kao servisne platforme sa različitim modelima prihoda sugeriše da su postali organizovaniji i strukturirani u svom poslovanju. Ovo bi moglo dovesti do situacije u kojoj ove grupe mogu brzo proširiti svoje aktivnosti, što organizacijama otežava odbranu od njih.

Uticaj na žrtve će takođe biti značajan. Sa eskalacijom taktika i tehnika koje koriste DragonForce i Anubis, pojedinci i organizacije mogu se naći pod većim pritiskom nego ikad da plate otkupnine ili rizikuju da njihovi osjetljivi podaci budu izloženi regulatornim tijelima. Ovo bi moglo dovesti do situacije u kojoj su organizacije primorane da biraju između plaćanja kazni ili rizikovanja reputacije.

Činjenica da su ove grupe usavršile svoje poslovne modele sugeriše da će nastaviti da inoviraju i prilagođavaju se kao odgovor na sve napore agencija za sprovođenje zakona ili stručnjaka za sajber bezbjednost da ih poremete. Tome u prilog govori i modernizacija foruma na mračnom internetu, što predstavlja značajnu prijetnju, jer ove platforme postaju sofisticiranije u svojoj ponudi. To bi moglo dovesti do povećanja broja zlonamjernih aktera koji su u mogućnosti da pristupe resursima i stručnosti koji su im ranije bili nedostupni.

Pored svega navedenog, uticaj na globalnu ekonomiju takođe se ne može zanemariti, jer su ove grupe u stanju da iznude značajne sume od organizacija širom sveta. To bi moglo dovesti do situacije u kojoj bi organizacije mogle imati poteškoća sa finansijskim oporavkom ako postanu žrtve napada ucjenjivačkog softvera. Stoga je neophodno da branioci budu informisani o svim dešavanjima i predvide svaki razvoj događaja koji može proizaći iz ovih trendova.

 

ZAKLJUČAK

Evolucija operacija sa ucjenjivačkim softverom grupa zlonamjernih aktera DragonForce i Anubis je značajan pokazatelj da je sajber kriminal postao sve sofisticiranija industrija. Uvođenje partnerskih programa, modela prihoda, pa čak i organizacija penetracijskog testiranja za testiranje njihovog zlonamjernog softvera, demonstrira nivo profesionalizma koji ranije nije viđen u ovoj oblasti. Stoga je neophodno da stručnjaci za sajber bezbjednost budu ispred svih ovih dešavanja, predviđajući buduće taktike.

Prilagodljivost koju pokazuju DragonForce i Anubis grupe zlonamjernih aktera nije samo zabrinjavajuća, već je i fascinantna sa analitičke perspektive. Proučavajući kako usavršavaju svoje poslovne modele kako bi izbjegli poremećaje i povećali uticaj, sigurnosni istraživači mogu steći vrijedne uvide u unutrašnje funkcionisanje organizacija za sajber kriminal. Ovo znanje se zatim može koristiti za informisanje efikasnijih protivmjera i strategija za ublažavanje ovih prijetnji.

Posmatrajući ovu složenu mrežu sajber kriminala, jedna stvar postaje jasna: DragonForce i Anubis nisu samo zlonamjerni akteri, oni su preduzetnici koji su usavršili svoj zanat kako bi povećali profit na sve unosnijem tržištu. Njihova prilagodljivost je dokaz evoluirajuće prirode sajber bezbjednosnih prijetnji, koje zahtevaju stalnu budnost branilaca.

Pored toga, činjenica da DragonForce i Anubis mogu da djeluju relativno nekažnjeno uprkos globalnim naporima za borbu protiv sajber kriminala ističe hitnu potrebu za međunarodnom saradnjom u ovoj oblasti. Dijeljenjem obavještajnih podataka i najboljih praksi preko granica, nacije mogu sarađivati kako bi efikasnije poremetile i demontirale ove operacije.

Na kraju krajeva, razumijevanje DragonForce i Anubis evolucije operacija ucjenjivačkog softvera je ključno za razvoj efikasnih protivmjera koje bi bile ispred njihovih taktika. Stoga su kontinuirane analize i istraživanja ovih fenomena neophodni za zaštitu pojedinaca, organizacija i društava od ove rastuće prijetnje.

 

ZAŠTITA

Evo preporuka o tome kako se zaštititi od stalno rastućih prijetnji ucjenjivačkog softvera DragonForce i Anubis zlonamjernih aktera:

1. Organizacije moraju uložiti vreme i resurse u razvoj efikasnog plana odgovora na sajber prijetnju koji uključuje procedure za otkrivanje, obuzdavanje, iskorjenjivanje i oporavak od napada ucjenjivačkog softvera. Ovaj plan treba redovno testirati kako bi se osigurala njegova efikasnost u ublažavanju uticaja takvih incidenata. Brojke pokazuju da 61% pogođenih organizacija plaća otkupninu nakon napada ucjenjivačkog softvera, zbog čega je ključno je imati solidan plan odgovora na sajber prijetnju kako bi se brzo sanirale ove aktivnosti i spriječilo održavanje modela prihoda zlonamjernih aktera. Na taj način moguće je smanjiti zastoje, smanjiti finansijske gubitke i zaštititi reputaciju organizacije;
2. Da bi se zaštitile od ucjenjivačkog softvera DragonForce i Anubis zlonamjernih aktera, organizacije moraju implementirati višeslojni bezbjednosni pristup koji uključuje zaštitne zidove, sisteme za detekciju upada (eng. intrusion detection systems – IDS), antivirusni softver, šifrovanje podatka, bezbjedne kontrole pristupa i redovne rezervne kopije kritičnih podataka. Ovo će pomoći u sprečavanju početnih infekcija i ograničavanju širenja zlonamjernog softvera unutar mreže;
3. Redovna procjena bezbjednosnog stanja organizacije je neophodna za identifikaciju potencijalnih slabosti koje bi mogli biti ciljani od strane DragonForce i Anubis zlonamjernih aktera. Ovo uključuje sprovođenje temeljnih procjena rizika, izvođenje penetracijskog testiranja i implementaciju programa kontinuiranog praćenja radi otkrivanja anomalija. Na ovaj način moguće je proaktivno rješiti ranjivosti pre nego što ih zlonamjerni akteri iskoriste, smanjujući vjerovatnoću uspješnih napada i smanjujući potencijalnu štetu u slučaju da dođe do incidenta;
4. Kako bi se spriječio neovlašteni pristup osjetljivim dijelovima sistema, implementirajte stroge kontrole pristupa koje uključuju autentifikaciju u više koraka (eng. multi-factor authentication – MFA), kontrolu pristupa zasnovanu na ulogama (eng. role-based access control – RBAC), princip najmanjih privilegija i redovne preglede korisničkih dozvola. Ovo će pomoći u ograničavanju širenja zlonamjernog softvera unutar mreže u slučaju da dođe do početne infekcije. Pored toga, potrebno je osigurati da su svi zaposleni obučeni o pravilnim praksama upravljanja lozinkama kako bi spriječili da zlonamjerni akteri koriste slabe ili ugrožene lozinke za neovlašteni pristup osjetljivim dijelovima sistema;
5. Redovna ažuriranja i ispravke za operativne sisteme, aplikacije i upravljački softver (eng. firmware) treba blagovremeno primjenjivati kako bi se riješile poznate ranjivosti koje se mogu iskoristiti od strane DragonForce i Anubis zlonamjernih aktera. Ovo uključuje ažuriranje cijelog softvera najnovijim bezbjednosnim ispravkama i implementaciju efikasnog programa za upravljanje ranjivostima. Na ovaj način moguće je spriječiti zlonamjerne aktere da iskoriste poznate slabosti u sistemu, smanjujući vjerovatnoću uspješnih napada i smanjujući potencijalnu štetu u slučaju incidenta;
6. Redovne rezervne kopije kritičnih podataka treba redovno sprovoditi kako bi se osigurao kontinuitet poslovanja u slučaju napada ucjenjivačkog softvera ili druge vrste sajber incidenta. Ovo uključuje implementaciju strategije pravljenja rezervnih kopija 3-2-1 koja uključuje tri kopije podataka, dva različita tipa skladištenja (npr. na licu mjesta i van lokacije) i jednu kopiju uskladištenu van mreže;
7. Kako bi se spriječilo bočno kretanje unutar mreže u slučaju napada ucjenjivačkog softvera, implementirati strogu segmentaciju mreže koja uključuje izolovanje osjetljivih područja od ostatka sistema pomoću zaštitnih zidova ili virtuelnih lokalnih mreža (eng. virtual local area networks – VLAN). Ovo će pomoći u ograničavanju širenja zlonamjernog softvera i smanjenju potencijalne štete sprečavanjem zlonamjernog aktera da pristupe drugim dijelovima sistema. Redovno pregledajte i ažurirajte arhitekturu mreže kako bi se osiguralo da ostane bezbjedna od prijetnji koje se stalno razvijaju;
8. Da bi se spriječili zlonamjerni akteri da koriste elektronsku poštu kao vektor za isporuku dodataka ucjenjivačkog softvera, potrebno je implementirati stroge mjere bezbjednosti elektronske pošte koje uključuju implementaciju filtera za neželjenu poštu, antivirusnog softvera i redovna ažuriranja za servere elektronske pošte. Potrebno je osigurati i da su svi zaposleni obučeni o pravilnim praksama upravljanja elektronskom poštom, kao što je izbjegavanje sumnjivih veza ili priloga, provjera identiteta pošiljaoca prije odgovora na elektronsku poštu i odmah prijavljivanje svih potencijalnih phishing pokušaja IT osoblju;
9. Ako organizacija koristi usluge u oblaku, implementirati stroge mjere bezbjednosti u oblaku koje uključuju implementaciju kontrola pristupa, šifrovanje u mirovanju i tokom prenosa, redovno pravljenje rezervnih kopija kritičnih podataka i praćenje sumnjivih aktivnosti u oblaku. Potrebno je osigurati i da su svi zaposleni obučeni o pravilnim praksama upravljanja oblakom, kao što je izbjegavanje neovlaštene upotrebe ličnih uređaja ili naloga za pristup osjetljivim dijelovima sistema;
10. Ako organizacija koristi uređaje interneta stvari (eng. internet-of-things – IoT), implementirati stroge mjere bezbjednosti interneta stvari (IoT) uređaja koje uključuju implementaciju bezbjednih ažuriranja upravljačkog softvera, šifrovanje u mirovanju i tokom prenosa, redovne rezervne kopije kritičnih podataka i praćenje sumnjivih aktivnosti u interneta stvari (IoT) okruženju.