DragonForce Ransomware-Kartell gegen alle

Die Geschichte des DragonForce Ransomware Kartells (DFRC, DragonForce) beginnt irgendwo, aber Forscher sind sich nicht einig, ob es als Hacktivistengruppe, als eigenständige neue Gruppe oder als eine Mischung aus beidem begann. Tatsächlich wird die Geschichte von DFRC immer undurchsichtiger, je mehr man sich damit befasst. Es ist schwer, alle interessanten Details zur Familiengeschichte in dieser Erzählung zu finden, und genau so mögen sie es.

Was steckt hinter dem Namen?

DragonForce ist ein cooler Name für einen Bedrohungsakteur. Drachen sind in der Fantasy-Literatur, in Rollenspielen (RPGs), im Online-Gaming und E-Sport, in Subkulturen wie Cyberpunk und Manga sowie in den Kampfkünsten und der fernöstlichen Mythologie zu finden. Der Drache vermittelt ein Bild von Gefahr und Macht und hat in Hacker-Subkulturen eine große Bedeutung. Mit der Annahme des Namens DragonForce gelang es der Ransomware-Gruppe, ein Symbol zu nutzen, das Respekt einflößt.

Es kann auch hilfreich sein, den Markennamen mit einer anderen Gruppe zu teilen, da dies die Ermittlungen nach einem Angriff erschweren kann. Dies ist sicherlich bei DragonForce Ransomware der Fall, wie Sie im nächsten Abschnitt sehen werden.

Hat sich die DragonForce-Ransomware aus DragonForce Malaysia entwickelt?

DragonForce Malaysia (DFM) ist ein Hacktivistenkollektiv, das Regierungen und Unternehmen ins Visier nimmt, die als feindlich gegenüber islamischen Nationen oder als Unterstützer Israels wahrgenommen werden. Sie sind stark anti-westlich eingestellt und haben sich als Verteidiger der islamischen Welt positioniert. Die Gruppe wurde erstmals im Mai 2021 beobachtet, und bis Ende 2023 koordinierte sie Angriffe mit anderen Gruppen wie Killnet und Anonymous Sudan. DFM ist weiterhin aktiv, aber die Angriffe bleiben auf einem niedrigen Niveau, außer bei bedeutenden Ereignissen oder Feiertagen, die für ihre Sache relevant sind.

DFRC wurde später beobachtet, als sie im Jahr 2024 begannen, Opfer aufzulisten und gestohlene Daten auf ihrer speziellen Leak-Website zu veröffentlichen. Forscher stellten fest, dass DragonForce kurz darauf auf ein Ransomware-as-a-Service (RaaS)-Modell umstieg.  Im März 2025 kündigte DragonForce an, dass sie als Kartell agieren würden und lud andere Gruppen ein, sich ihnen anzuschließen.

Ist DFRC also eine Weiterentwicklung der Hacktivistengruppe? Es gibt einige Indizien, die auf einen Zusammenhang hindeuten. Beide verwenden „DragonForce“ in ihren Namen, was einige Spekulationen über eine Verbindung befeuert und bei Forschern Verwirrung stiften könnte. Medusa-Ransomware ist ein gutes Beispiel dafür, wie gemeinsame oder ähnliche Namen die Forschung zu Bedrohungsakteuren erschweren können.

Ein zweiter unterstützender Punkt ist, dass beiden DragonForce-Gruppen eine Verbindung zu Malaysia nachgesagt wird. Die Hacktivistengruppe ist in der Region aktiv, und einige Forscher vermuten, dass die Ransomware-Gruppe aufgrund ihrer Opfer-Zielmuster Verbindungen zu Malaysia haben könnte. Ein letzter unterstützender Punkt ist, dass beide Gruppen störende Angriffe durchführen und für Datenlecks sorgen.  

Das sind die öffentlich zugänglichen Beweise, die auf eine Verbindung zwischen den beiden Gruppen hinweisen. Es scheint nicht viel zu sein, aber viele Forscher und Quellen aus der Branche unterstützen diese Schlussfolgerung.

Lassen Sie uns nun die Beweise gegen die Verbindung betrachten. Zunächst einmal muss man wissen, dass DragonForce Malaysia eine Verbindung zu der Ransomware-Gruppe bestritten hat und auch bestreitet, jemals Ransomware bei seinen Angriffen eingesetzt zu haben.

KI-Übersetzung:

DragonForce Malaysia

OFFIZIELLE ERKLÄRUNG: MOTIV UND VORGEHENSWEISE …

Zu Ihrer Information, dies ist unsere offizielle Stellungnahme, um die Behauptungen bestimmter ausländischer Artikel über mehrere kürzliche Angriffe zu widerlegen, die angeblich von einer Gruppe namens „Dragonforce Ransomware“ durchgeführt wurden, die auch angeblich mit DragonForce Malaysia verbunden ist.

Wir möchten hier klarstellen, dass die Ziele der als Dragonforce Ransomware bekannten Gruppe eindeutig im Widerspruch zu unseren eigenen Zielen stehen. Es ist völlig klar, dass sie eher profitorientiert sind und mit erpresserischer Absicht vorgehen, wohingegen DragonForce Malaysia, obwohl wir die Existenz einer solchen Organisation weder bestreiten noch bestätigen, nie an schädlichen Angriffen beteiligt war oder für solche erpresserischen Handlungen verantwortlich war.

Unser Kampf richtet sich gegen Unterdrückung, es geht uns nicht um Erpressung.

Wir sind auch niemals durch irgendeine Form von „False-Flag“-Operationen, sei es von feindlichen Parteien oder aus dem Land selbst, provoziert worden.

Mit freundlichen Grüßen

Sieht nichts Böses, hört nichts Böses und spricht nichts Böses.

~Dexter's~

Die beiden Gruppen verfügen auch über unterschiedliche Infrastrukturen und Taktiken, Techniken und Verfahren (TTPs), was angesichts der Motivationen jeder Gruppe zu erwarten ist. Zum Beispiel wurde DFM mit keiner Zahlungsinfrastruktur in Verbindung gebracht, vermutlich weil es sich nicht an Erpressung beteiligt. Es gibt auch keine Privilegienerweiterung, keinen Zugriff auf Zugangsdaten oder Datenexfiltration, wie man es bei einem Ransomware- oder finanziell motivierten oder staatlichen Spionageangriff sehen würde. Die meisten DFM-Opfer erleiden dasselbe Schicksal wie die Opfer anderer Hacktivistengruppen, und zwar oft Betriebsunterbrechungen und Website-Verunstaltungen.

Ein weiterer Punkt, den man berücksichtigen sollte, ist, dass es anscheinend keine Hinweise auf Verbindungen des DFRC zu Malaysia in Bezug auf Infrastruktur, den Standort des Betreibers oder das Hosting von Kommando- und Kontrollsystemen gibt. Es gibt keine bestätigten malaysischen Opfer und es scheint keine bekannten DFRC-Regeln zu geben, die Angriffe auf Unternehmen in Malaysia verbieten. Dies ist kein Beweis dafür, dass DFRC keine Verbindungen zu Malaysia hat, aber es ist hier aufgrund der oben erwähnten Beweise für das Opfermuster relevant.

Es gibt auch Beweise, die DFRC mit Russland und anderen Ländern der Gemeinschaft Unabhängiger Staaten (GUS) in Verbindung bringen.

Beweise für russische oder GUS-Ursprünge

Es gibt keine endgültige Schlussfolgerung, dass das DragonForce Ransomware-Kartell in postsowjetischen Staaten ansässig ist oder mit ihnen in Verbindung steht, aber es gibt einige Hinweise:

• Die Ransomware-Varianten der Gruppe basieren auf geleakten Baukästen, die mit russischen Cyberkriminellen in Verbindung gebracht werden.
• DFRC verwendet Tools wie SystemBC, Mimikatz und Cobalt Strike, die häufig von russischsprachigen Bedrohungsakteuren genutzt werden.
• DragonForce hat aktiv seine Dienste auf dem Russian Anonymous Market Place, oder RAMP, beworben. Die meisten Nutzer auf RAMP kommunizieren auf Russisch.
• Die Affiliate-Regeln verbieten Angriffe auf Russland und andere Länder der ehemaligen Sowjetunion.

Laut The Register hat die rivalisierende Ransomware-Gruppe RansomHub DFRC beschuldigt, als Agent für den russischen Föderalen Sicherheitsdienst (FSB) tätig zu sein. Es scheint keine stichhaltigen Beweise zu geben, die die Anschuldigung stützen oder entkräften. Einige Branchenanalysten glauben, dass DFRC und ähnliche Gruppen tatsächlich für den Staat arbeiten, aber sie tun dies auf eine Weise, die die Rolle der Regierung verschleiert.

All diese Beweise könnten auf eine Verbindung zu postsowjetischen Staaten hindeuten, sie könnten aber auch als „Best Practices“ einer Gruppe interpretiert werden, die 1) viele kriminelle Affiliates rekrutiert und 2) Malware und Techniken verwenden möchte, die sich bewährt haben. 

Zeitleiste der Ereignisse

DragonForce Ransomware trat Ende 2023 als Ransomware-Gruppe in Erscheinung und nutzte Ransomware-Payloads, die auf LockBit 3.0 und Conti-Quellcode basieren. Die Ohio Lottery und Yakult Australia gehören zu den ersten prominenten Opfer. 

Der Betrieb von DragonForce RaaS

DragonForce kündigte Anfang 2024 seinen Ransomware-as-a-Service (RaaS)-Betrieb an und rekrutierte aktiv Partner über Untergrundforen und andere Kommunikationskanäle.

Zu jener Zeit ist DragonForce ein echtes RaaS, sodass die Partnerunternehmen traditionelle Ransomware-Kampagnen mit der DragonForce-Infrastruktur und der Marke DragonForce durchführen. DragonForce nahm 20 % der Lösegeldzahlungen als Servicegebühr ein, und die Affiliates behielten den Rest. Bis Ende 2024 verzeichnete die Operation 93 Opfer in mehreren Ländern.

Das DragonForce-Ransomware-Kartell

Am 19. März 2025 gab DragonForce Ransomware bekannt, dass sie als Kartell operiert. Hier sehen wir eine signifikante Veränderung in der Art und Weise, wie sie ihren Rivalen begegnen und kriminelle Gelegenheiten nutzen.

Diese Umstellung ist nicht wie ein Rebranding, bei dem die Gruppe von der Bildfläche verschwindet und mit einem anderen Namen zurückkehrt. Dies ist eine Entwicklung hin zu einem neuen Modell der Kriminalität, das die zentralisierte Hierarchie einer Gruppe durch eine dezentrale Koalition von Bedrohungsakteuren ersetzt. Kartellmitglieder können Angriffe unter ihren eigenen Marken starten, während sie DragonForce-Ressourcen nutzen, und sie können nach Belieben zusammenarbeiten und sich austauschen. Als Kartell betreibt das DFRC auch Pressearbeit und wird Öffentlichkeitsarbeit nutzen, um Druck auf die Opfer auszuüben und die Vorherrschaft in der Bedrohungslandschaft zu erlangen.

„Hacker kontaktierten die BBC mit Beweisen, dass sie IT-Netzwerke infiltriert und große Mengen an Kunden- und Mitarbeiterdaten gestohlen hatten.“ ~BBC World Service

„DragonForce erklärte gegenüber BleepingComputer, dass ihre Struktur die eines Marktplatzes ist, auf dem Affiliates wählen können, ob sie Angriffe unter der Marke DragonForce oder unter einer anderen Marke durchführen möchten.“~BleepingComputer

„Wir greifen keine Krebs- oder Herzpatienten an, sondern würden ihnen lieber Geld senden und ihnen helfen. Wir sind hier, um Geschäfte zu machen und Geld zu verdienen. Ich bin nicht hierhergekommen, um Menschen zu töten, und meine Partner auch nicht.“ ~BleepingComputer

DragonForce ist nicht das erste Ransomware-Kartell, aber es scheint das erste zu sein, das so selbstbewusst und offen feindlich gegenüber Konkurrenten ist.

DragonForce gegen alle

Nach der Ankündigung des Wechsels zum Kartell zielte DragonForce schnell mit Belästigungskampagnen und feindlichen Übernahmeversuchen auf seine Konkurrenten ab. Innerhalb von 24 Stunden nach der Ankündigung des Kartells verunstaltete DragonForce die Leak-Seiten der RaaS-Gruppen BlackLock und Mamona. 

An diesem Punkt wollen wir unsere Aufmerksamkeit auf RansomHub und all die verwaisten RaaS-Affiliates richten, die es unter seine Fittiche genommen hatte. Diese Gruppe war bis zum 1. April 2025, als ihre Infrastruktur offline ging, erfolgreich als RaaS oder Hybridmodell tätig.

RansomBay, ein ehemaliger Partner von RansomHub, ist zu DragonForce gewechselt und hat sogar Elemente des DragonForce-Logos in seine Tätigkeit integriert.

An diesem Punkt sehen wir, wie RansomHub in den Foren zurückschlägt. Am 25. April veröffentlichte der RansomHub-Sprecher ‚Koley‘ einen Screenshot, der zeigte, dass die Leak-Site von DragonForce Probleme mit „technischen Arbeiten“ hatte und deutete an, dass das Kartell „Verräter“ in den eigenen Reihen hatte. Der Schlagabtausch zwischen den beiden setzte sich fort, wobei Beobachter Spekulationen über Exit-Scams und ein Rebranding anstellten. Am 28. April sehen wir Koleys große Anschuldigung:

„Ihr nutzt die Behörden, um andere zu bestehlen und auszuschalten. Wir wissen es.“

Dies steht im Einklang mit den Berichten von The Register über die Anschuldigungen.

Opfer des DragonForce Ransomware-Kartells

Seit der Ankündigung im März konzentriert sich DFRC auf große britische Einzelhändler. Zu den Opfern in diesem Sektor gehören:

• Marks & Spencer (M&S): Dieser Angriff störte die Online-Bestell- und Zahlungssysteme und gefährdete die Kundendaten. DragonForce schickte Erpresser-E-Mails an den CEO und andere Führungskräfte, prahlte mit dem Angriff und drohte, vertrauliche Informationen zu veröffentlichen. Ausschnitte aus der E-Mail können hier gelesen werden.
• Co-op: Die Back-Office- und Call-Center-Aktivitäten waren betroffen, aber das Unternehmen und seine Filialen sollen während des Angriffs normal in Betrieb geblieben sein. Co-op bestätigte die Offenlegung der persönlichen Daten von über 10.000 Mitgliedern.
• Harrods: Dies ist ein wahrscheinliches, aber noch nicht vollständig verifiziertes Opfer. DragonForce übernahm die Verantwortung für einen Cyberangriff, der Harrods dazu zwang, den Internetzugang einzuschränken und andere Schadensbegrenzungsmaßnahmen zu ergreifen.  Die Zuordnung zu DragonForce wurde nicht bestätigt.

Kartellmitglieder haben auch mindestens 15 industrielle Ziele kompromittiert und eine Managed Service Provider (MSP)-Anwendung in einem Supply-Chain-Angriff kompromittiert, der es ermöglicht, anschließend die Kunden des MSP anzugreifen.

Wie geht es weiter mit diesem Kartell?

Sollten die Vergeltungsmaßnahmen der Rivalen und die interne Unzufriedenheit DragonForce nicht schaden, wird das Kartell wahrscheinlich weiter wachsen. Dies wird zur Fluidität der Bedrohungslandschaft und zur Agilität der Bedrohungsakteure beitragen, sich umzubenennen oder einfach in einer anderen Gruppe oder einer anderen Art von Verbrechen unterzutauchen.  Es ist möglich, dass das Kartell so schnell wächst, dass es die Operation nicht gut genug verwalten kann, um Datenlecks zu verhindern. Die Strafverfolgungsbehörden hatten in den letzten Jahren einige Erfolge. Vielleicht gelingt es ihnen, auch hier diesem Kartell einen Schlag zu versetzen.

Wie Sie sich schützen können

Die Stop Ransomware-Website der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) kann Ihnen dabei helfen,Ransomware-Angriffe zu verhindern. Sie sollten sich auf dieser Website über die Kommunikation im Notfall, schlechte Vorgehensweisen und die richtige Reaktion auf Ransomware-Angriffe informieren. Stellen Sie außerdem sicher, dass Sie die standardmäßigen Best Practices befolgen, wie z. B. regelmäßige Datenbackups und zeitnahes Patch-Management.

Barracuda bietet umfassenden Ransomware-Schutz und die branchenweit umfassendste Cybersecurity-Plattform. Besuchen Sie unsere Website, um zu erfahren, wie wir E-Mails, Netzwerke, Anwendungen und Daten schützen.