Wer ist die DragonForce-Ransomware-Bande?

Inhaltsübersicht
Wer behauptet, eine rivalisierende Ransomware-Gruppe zu übernehmen und prahlt dann online damit? DragonForce tut es.
Die DragonForce-Gang, einst eine wenig bekannte Hacktivistengruppe, hat sich zu einem professionellen Ransomware-Unternehmen entwickelt. Sie betreiben ein RaaS-Programm. Sie entwickeln maßgeschneiderte Nutzlasten. Und sie geben gestohlene Daten zu ihren Bedingungen weiter.
Wer genau ist diese Gruppe, wie operiert sie, und wer sind ihre Opfer? Hier ist eine Analyse der DragonForce-Ransomware, die alles aufschlüsselt.
Ursprünge und Hintergrund von DragonForce
Die Ransomware-Variante DragonForce tauchte im August 2023 auf, doch ihre Wurzeln reichen weiter zurück. Ursprünglich als DragonForce Malaysia bekannt, begann die Gruppe als pro-palästinensische Hacktivistengruppe, die Organisationen im asiatisch-pazifischen Raum und in den USA angriff. Mit der Zeit verlagerte sich ihr Schwerpunkt jedoch von politischen Angriffen auf gewinnorientierte Ransomware-Kampagnen.
Es handelte sich nicht nur um eine Umbenennung. Anfang 2023 hatte sich die DragonForce Ransomware-Gruppe vollständig auf Ransomware umgestellt. Im März 2024 erweiterte die Gruppe ihr Ransomware-as-a-Service-Angebot (RaaS) und führte ein Franchise-ähnliches Modell ein.
Affiliates können nun ihre eigenen Ransomware-Marken betreiben, die von der DragonForce-Infrastruktur unterstützt werden - von Client-Panels und Daten-Hosting bis hin zum 24/7-Backend-Support mit Anti-DDoS-Schutz.

Technisch gesehen begann DragonForce mit einer auf LockBit 3.0 basierenden Variante und führte dann eine zweite Variante ein - eine Abspaltung von ContiV3 -, die auf Angriffe mit doppelter Erpressung zugeschnitten war. Die Malware wurde für eine breite Wirkung konzipiert und zielte auf ESXi-, NAS-, BSD- und Microsoft Windows-Systeme ab, wobei die Verschlüsselungs-Engine und die Funktionen ständig aktualisiert wurden.
Im Gegensatz zu Gruppen, die in Schüben operieren, hielt DragonForce den Druck konstant aufrecht. Allein zwischen August 2023 und August 2024 forderten sie 82 Opfer und trafen Sektoren wie das verarbeitende Gewerbe, den Immobiliensektor und das Transportwesen, wobei die USA die Hauptlast der Angriffe trugen.
Wie DragonForce arbeitet: Taktiken, Techniken und Verfahren (TTPs)
Wie läuft ein Angriff mit DragonForce Ransomware ab? Hier ist eine Aufschlüsselung von DragonForce TTPS.
- Erster Zugang: DragonForce beginnt in der Regel mit Phishing-E-Mails oder anderen Social-Engineering-Betrügereien, bei denen Benutzer dazu verleitet werden, bösartige Anhänge zu öffnen oder auf schädliche Links zu klicken. Sobald sie drin sind, nutzen sie oft Schwachstellen in Remote Desktop Protocol (RDP) und VPN-Lösungen aus.
- Ausführung und Ausdauer: Nachdem die DragonForce Fuß gefasst hat, setzt sie Tools wie Cobalt Strike und SystemBC ein, um sich seitlich zu bewegen und Anmeldedaten zu sammeln. Sie verwenden Netzwerkscanner wie SoftPerfect Network Scanner, um weitere Ziele zu identifizieren. Eine wichtige Taktik ist "Bring Your Own Vulnerable Driver" (BYOVD), mit der sie Sicherheitssoftware deaktivieren können, indem sie bekannte anfällige Treiber ausnutzen.
- Anpassung und Partnermodell: Das Ransomware-as-a-Service-Programm (RaaS) von DragonForce ist in hohem Maße anpassbar. Die Partner können die Verschlüsselungseinstellungen anpassen, Sicherheitsfunktionen deaktivieren und die Erpresserbriefe an das jeweilige Opfer anpassen. Das Geschäftsmodell ermöglicht es den Partnern, 80% des eingenommenen Lösegelds zu behalten.
- Datenexfiltration: DragonForce konzentriert sich auf den Diebstahl sensibler Daten, bevor er seine Verschlüsselungsphase einleitet. Typische Ziele sind geistiges Eigentum, Finanzdaten und persönlich identifizierbare Informationen (PII). Dadurch wird sichergestellt, dass die Opfer, selbst wenn Sicherungskopien vorhanden sind, immer noch dem Risiko einer schädlichen Störung ausgesetzt sind. Datenschutzverletzung.
- Verschlüsselung: Die Ransomware-Nutzlast ist flexibel und robust. Sie zielt auf verschiedene Systeme ab, darunter ESXi, NAS, BSD- und Windows-Umgebungen. Die Partner können den Verschlüsselungsprozess feinabstimmen, sodass jeder Angriff etwas anders verläuft.
- Erpressung: Die Bande stützt sich auf eine spezielle DragonForce-Leck-Seite auf der dunkles Internet um die Opfer unter Druck zu setzen. Wenn das Lösegeld nicht gezahlt wird, werden die gestohlenen Daten veröffentlicht, was neben der Betriebsunterbrechung auch ein Risiko für den Ruf und die Einhaltung von Vorschriften darstellt. Detaillierte Verhandlungstaktiken und Lösegeldforderungen sind zwar nicht allgemein dokumentiert, aber die Kombination aus Datendiebstahl und Verschlüsselung verleiht ihnen einen erheblichen Einfluss.
Was macht DragonForce unverwechselbar?
Eine der herausragenden Aktionen von DragonForce ist die Behauptung, die Infrastruktur von RansomHubdie im vergangenen Jahr die größte Ransomware-Gruppe war. Diese Ankündigung erschien sowohl im RAMP-Forum als auch auf der Tor-basierten Leak-Site von DragonForce und signalisiert einen kühnen Versuch der Cyberkriminellen, einen wichtigen Konkurrenten zu absorbieren oder zu ersetzen.

DragonForce konzentriert sich eindeutig auf hochwertige Branchen. Ihre Angriffe betreffen typischerweise Sektoren wie HerstellungSie bevorzugen Organisationen, die sowohl betriebsnotwendig sind als auch schnell zahlen können. Ihre Kampagnen sind weltweit, konzentrieren sich aber stark auf die USA, das Vereinigte Königreich und Australien.
Was die Kommunikation und Nachrichtenübermittlung anbelangt, so veröffentlicht DragonForce Aktualisierungen und Ankündigungen sowohl in Untergrundforen als auch auf seiner eigenen Leak-Site. Dadurch bleibt die Gruppe im Ökosystem der Cyberkriminalität sichtbar.
Der Betrieb von DragonForce scheint gut organisiert und effizient zu sein. Ihr Ransomware-as-a-Service-Modell ermöglicht es den Partnern, Angriffe schnell zu starten und dabei auf eine professionelle Infrastruktur und anpassbare Tools zurückzugreifen. Ihre Methoden sind opportunistisch, da sie bekannte Schwachstellen ausnutzen und sich die zum jeweiligen Zeitpunkt effektivsten Einfallstore zunutze machen.
DragonForce und die jüngsten Angriffe
Sehen wir uns einige reale Beispiele von DragonForce-Bedrohungsakteuren in Aktion an, mit Cyber-Vorfällen in der ganzen Welt.
Viktimologie
Wer sind die Hauptopfer der DragonForce? Die Bande scheint eine Erfolgsbilanz bei großen, hochrangigen Organisationen in verschiedenen Sektoren zu haben.
Zu den bemerkenswerten Cyberangriffen von DragonForce gehört der Einbruch in die Lotterie von Ohio im Dezember 2024, bei dem mehr als 600 GB an sensiblen Daten gestohlen wurden. In Australien wurde der Betrieb von Yakult im Dezember 2024 schwer getroffen, wobei DragonForce die Verantwortung für die Exfiltration von fast 100 GB an Daten, einschließlich Verträgen und persönlichen Identifikationsdokumenten, übernahm.
DragonForce Malware auch auf den Nahen Osten ausgedehnt. Im Februar 2025 wurde ein großes Immobilien- und Bauunternehmen in Saudi-Arabien Opfer eines Angriffs, bei dem DragonForce Berichten zufolge über 6 TB an Daten gestohlen hat. Der Angriff fiel offenbar zeitlich mit dem Ramadan zusammen, was den Erpressungsversuchen noch mehr Druck verlieh.
In jüngster Zeit sind auch britische Einzelhändler ins Fadenkreuz geraten. Marks & Spencer wurde im April 2025 mit einem schweren Ransomware-Angriff konfrontiert, der zu weitreichenden IT-Störungen und Serviceausfällen führte.
DragonForce übernahm auch die Verantwortung für einen Einbruch bei Co-op, bei dem Daten von Millionen von Mitgliedern und Mitarbeitern gestohlen wurden. Die Hacker gaben sogar Proben der gestohlenen Daten an BBC-Journalisten weiter, um das Ausmaß des Verstoßes zu demonstrieren und das Opfer weiter unter Druck zu setzen.

Abbildung 3: Schlagzeile über den Cyberangriff auf die Co-op. (Quelle: BBC)
Auswirkungen
Die Folgen von DragonForce-Angriffen sind in der Regel Betriebsunterbrechungen, finanzielle Verluste und eine erhebliche Schädigung des Rufs. Die Opfer sehen sich oft mit längeren Serviceausfällen konfrontiert, wie bei der Ohio Lottery und M&S zu sehen war.
Als wir diesen Artikel schrieben, war zum Beispiel auf der Website von Marks & Spencer noch dieses Banner zu sehen, "Wir haben die Online-Bestellungen pausiert."

Gestohlene Daten, einschließlich sensibler Informationen, führen außerdem zu rechtlichen und Compliance Herausforderungen. Öffentliche Indiskretionen verschlimmern den Schaden, untergraben das Vertrauen und laden zu behördlicher Kontrolle ein, wie im Fall von Yakult Australia.
Zuschreibung
Die Zuordnung von Ransomware ist selten einfach, und DragonForce ist da keine Ausnahme. Während die Gruppe über ihre Leak-Site und Untergrundforen aktiv die Anerkennung für ihre Angriffe beansprucht, kann eine unabhängige Überprüfung schwierig sein.
In einigen Fällen haben Opfer, Strafverfolgungsbehörden und Sicherheitsforscher bestimmte Sicherheitsverletzungen mit hoher Wahrscheinlichkeit mit DragonForce in Verbindung gebracht, wie z. B. die Sicherheitsverletzungen bei der Ohio Lottery und Yakult, die auf übereinstimmenden Ransomware-Signaturen und öffentlichen Erklärungen basieren.
Wie sich Cyber-Experten gegen DragonForce schützen können
DragonForce erfindet Ransomware nicht neu. Sie führen sie nur gut aus, mit einer starken Infrastruktur, maßgeschneiderten Nutzlasten und einer wachsenden Reichweite. Das bedeutet, dass die Verteidiger keine Magie brauchen. Sie brauchen Grundlagen, die konsequent umgesetzt werden, und zwar in den Bereichen Prävention, Erkennung und Reaktion.
Hier sind einige Maßnahmen zur Cybersicherheit Ransomware-Angriffe verhindern.
1. Prävention
Die beste Verteidigung gegen die DragonForce ist, sie draußen zu halten.
- Flicken Sie gefährdete Systeme schnell. DragonForce ist dafür bekannt, dass es gängige Zugangspunkte wie VPNs und RDP ausnutzt. Priorisieren Sie das Patchen Internet-basierte Dienste und bekannte Schwachstellen.
- Setzen Sie MFA überall durch. Insbesondere bei Fernzugriffsdiensten, Admin-Panels und Sicherungssystemen.
- Segmentieren Sie Ihr Netzwerk. Wenn Ransomware zuschlägt, kann die Segmentierung die seitliche Bewegung einschränken.
- Schränken Sie die Administratorrechte ein. Geben Sie den Benutzern nur das, was sie brauchen. Überwachen Sie die Ausweitung von Privilegien.
- Schulung der Benutzer zum Thema Phishing. Testen und simulieren Sie regelmäßig. DragonForce beginnt oft mit einer bösartigen E-Mail.
- Sicher Backups. Halten Sie sie offline oder unveränderbar und testen Sie die Wiederherstellung häufig. Backups nützen nichts, wenn sie auch noch verschlüsselt sind.
Erkennung
Die frühzeitige Erkennung von DragonForce-Cyberbedrohungen ist entscheidend, bevor es zu einer Exfiltration oder Verschlüsselung kommt.
- Überwachen Sie die Werkzeuge für seitliche Bewegungen. Cobalt Strike, SystemBC und SoftPerfect Network Scanner sind Teil des DragonForce-Toolkits.
- Suchen Sie nach BYOVD-Aktivitäten. Die Erkennung ungewöhnlicher Treiberlasten oder Versuche, EDR-Tools zu deaktivieren, kann auf einen laufenden Angriff hindeuten.
- Achten Sie auf die Datenbereitstellung. Plötzliche Spitzen beim Datenzugriff oder bei der Übertragung in interne Bereitstellungsbereiche sollten Warnmeldungen auslösen.
- Suche nach Artefakten der Lösegeldforderung. Selbst bei der Übermittlung von benutzerdefinierten Nutzdaten folgen die Notizen oft einem Muster und können gekennzeichnet werden.
- Aktivieren Sie die Protokollierung über Endpunkte und Server hinweg. Insbesondere PowerShell, Windows-Ereignisprotokolle und Netzwerkverkehr.
Reaktion und Wiederherstellung
Wenn es zu einem Cybervorfall kommt, kommt es auf Schnelligkeit und Struktur an.
- Befolgen Sie Ihren Reaktionsplan für Zwischenfälle. Improvisieren Sie nicht unter Druck. Halten Sie sich an das Spielbuch.
- Isolieren Sie betroffene Systeme sofort. Begrenzen Sie den Schaden schnell.
- Schalten Sie die Rechtsabteilung und die Kommunikationsabteilung frühzeitig ein. Datenlecks stellen ein Risiko für die Regulierung und den guten Ruf dar.
- Bewahren Sie Protokolle und Artefakte auf. Selbst wenn die Systeme verschlüsselt sind, sind Beweise für die Zuordnung und Reaktion wichtig.
- Meldung an die Behörden. Aktie indikatoren für Kompromisse (IOCs) mit CISA oder Strafverfolgungsbehörden. Dies trägt zum Aufbau von Bedrohungsinformationen in der gesamten Branche bei.
- Überprüfung und Aktualisierung der Kontrollen nach einem Vorfall. Jeder Angriff ist eine Gelegenheit, eine Lücke zu schließen.
Vertiefende technische Hinweise finden Sie in der CISA Ransomware-Leitfaden ist eine solide Referenz für Teams, die mehrschichtige Verteidigungsstrategien entwickeln.
Abbildung 5: Tweet/ X-Post von CISA. (Quelle: CISA)
Einpacken
DragonForce ist (noch) nicht die größte Ransomware-Bande da draußen. Aber sie sind schnell gewachsen, und ihre Taktiken entwickeln sich weiter. Für Verteidiger ist die Lektion klar: Sie können nicht warten, bis Ransomware den Endpunkt erreicht. Sie müssen Bedrohungen erkennen, bevor sie Ihr Netzwerk erreichen.
Hier kommt CybelAngel ins Spiel.
Unser Informationen über externe Bedrohungen Lösung unterstützt Sicherheitsteams bei der frühzeitigen Erkennung von Ransomware über Drittanbieter, Lieferketten und das Dark Web. Von durchgesickerten Anmeldeinformationen bis hin zu ungesicherten Assets und frühen Anzeichen einer Kompromittierung - wir verschaffen Ihnen Einblicke, wo herkömmliche Tools nicht hinkommen.
Der Kampf gegen Ransomware beginnt außerhalb des Netzwerks. Buchen Sie eine Demo mit CybelAngel, um zu sehen, wie Sie Ihr System sichern können.