DragonForce nimmt Konkurrenten im Kampf um die Ransomware-Vorherrschaft ins Visier
ID: 2173293
Die aggressive Cybercrime-Gruppe begnügt sich nicht mit einer neuen Angriffswelle, sondern liefert sich einen Revierkampf mit anderen Ransomware-Betreibern
DragonForce agiert als destabilisierende Kraft
„DragonForce ist nicht einfach nur eine weitere Ransomware-Marke – sie ist eine destabilisierende Kraft, die versucht, die Ransomware-Landschaft umzuwälzen und neu zu gestalten“, so Aiden Sinnott, Senior Threat Researcher, Sophos Counter Threat Unit. „Während die Gruppe in Großbritannien nach spektakulären Angriffen auf große Einzelhandelsketten in letzter Zeit die Schlagzeilen beherrschte, scheint es auch hinter den Kulissen zwischen den Cyberkriminellen zu Auseinandersetzungen zwischen DragonForce und weiteren E-Crime-Gruppen wie RansomHub zu kommen. Da sich das Ökosystem nach der Zerschlagung von LockBit rasant weiterentwickelt, unterstreicht der aktuelle Revierkampf insbesondere die Bemühungen dieser Gruppe, die Vorherrschaft zu erlangen.“
Die Sophos-Forscher verfolgen die Entwicklung der von der Gruppe ausgehenden Bedrohung seit einiger Zeit aktiv. DragonForce ist an schwerwiegenden Angriffen beteiligt, die sowohl auf traditionelle IT-Infrastrukturen als auch auf virtualisierte Umgebungen wie zum Beispiel VMware ESXi abzielen. Der Schwerpunkt liegt dabei auf dem Diebstahl von Anmeldeinformationen, dem Missbrauch von Active Directory und der Exfiltration von Daten.
Im März 2025 startete die Gruppe Bemühungen, die Vorherrschaft im Ransomware-Ökosystem zu erlangen, indem sie ein flexibleres Partnermodell einführte und andere Ransomware-Gruppen ins Visier nahm. Als DragonForce im August 2023 auftauchte, bot es ein traditionelles RaaS-System an. Am 19. März 2025 kündigte die Gruppe die Umbenennung in ein „Kartell“ an, um ihre Reichweite zu erweitern und den Erfolg von LockBit und anderen etablierten Ransomware-as-a-Service-Gruppen (RaaS) nachzuahmen. In der Praxis handelt es sich nicht um ein Kartell, sondern um ein Angebot, das verbundenen Unternehmen die Flexibilität bietet, die Infrastruktur und Ransomware-Tools von DragonForce zu nutzen und gleichzeitig unter ihrem eigenen Markennamen zu agieren.
DragonForce überarbeitete nicht nur sein Geschäftsmodell, sondern begann auch, konkurrierende Unternehmen anzugreifen. Der „Kartell“-Post fiel mit der Verunstaltung von Leak-Websites der Ransomware-Gruppen BlackLock und Mamona zusammen, die vermutlich von DragonForce durchgeführt wurden.
Im April schien ein Beitrag auf der RansomHub-Leak-Site das DragonForce-Kartell zu bewerben und ein DragonForce-Beitrag im RAMP-Untergrundforum deutete ebenfalls auf eine Zusammenarbeit der Gruppen hin, doch ein Nachtrag deutete darauf hin, dass RansomHub die Zusammenarbeit möglicherweise nicht unterstützt.
Eine der produktivsten Gruppen nach LockBit
RansomHub ist eine der produktivsten Gruppen, die nach der LockBit-Störung und dem Untergang von ALPHV (auch bekannt als BlackCat) im Jahr 2024 entstanden sind.
Kurz nach diesen Posts ging die RansomHub-Leak-Site offline. Auf der Homepage erschien die Meldung „RansomHub R.I.P. 03.03.2025“. Die „Zusammenarbeit“ zwischen DragonForce und RansomHub scheint eher eine feindliche Übernahme durch DragonForce gewesen zu sein. Die Person „Koley“, bekannt als prominentes RansomHub-Mitglied, veröffentlichte auf RAMP eine Verunstaltung der DragonForce-Homepage zusammen mit der Nachricht „@dragonforce, schätze, ihr habt Verräter …“. Weitere Posts von Koley beschuldigten DragonForce, mit Strafverfolgungsbehörden zusammenzuarbeiten, Rivalen anzugreifen und Lügen zu verbreiten.
Zum Zeitpunkt dieser Veröffentlichung ist die DragonForce-Leak-Site nach einem längeren Ausfall wieder online. Während der Offline-Zeit zeigte die Homepage eine Meldung an, dass die Site bald wieder erreichbar sein würde. Eine ähnliche Meldung erscheint auch auf der RansomBay-Leak-Site.
„Währenddessen geht allerdings der Angriff auf Unternehmen ungebremst weiter“, so Sinnott. „Der interne Krieg zwischen Ransomware-Gruppen stört zwar deren eigene Abläufe, verringert aber nicht das Risiko für Unternehmen. Vielmehr kann er zu unberechenbareren, opportunistischeren Angriffen führen, da die Gruppen versuchen, ihre Vorherrschaft zu behaupten und gestohlene Daten auf neue Weise zu Geld zu machen. Unternehmen müssen daher ihre Strategien zur Reaktion auf Vorfälle, zur Bedrohungsaufklärung und zum Risikomanagement Dritter überdenken, um in einem zunehmend chaotischen Bedrohungsumfeld widerstandsfähig zu bleiben.“
Weitere Details zu der Untersuchung und Screenshots finden sich im englischen Original-Blogbeitrag „DragonForce targets rivals in a play for dominance“. Für vertiefende Gespräche steht Aiden Sinnott gerne zur Verfügung.
Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Datum: 21.05.2025 - 15:19 Uhr
Sprache: Deutsch
News-ID 2173293
Anzahl Zeichen: 5757
Kontakt-Informationen:
Ansprechpartner: Thilo ChristAriane WendtArno LüchtUlrike MasztalerzJörg Schindler
Stadt:
Wiesbaden
Telefon: +49 (8081) 954617+49 (172) 4536839+49 (8081) 95461
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 423 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"DragonForce nimmt Konkurrenten im Kampf um die Ransomware-Vorherrschaft ins Visier"
steht unter der journalistisch-redaktionellen Verantwortung von
Sophos Technology GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Unternehmen in Deutschland, Österreich und der Schweiz stehen wie viele Organisationen weltweit vor der Herausforderung, eine wachsende Zahl an IT- und Cybersecurity-Vorgaben zu erfüllen. Eine aktuelle, von Sophos in Auftrag gegebene internationale Studie zeigt, wie stark regulatorische Anforderun
Entwickler-Tools als neue Angriffsfläche ...
Aktuelle Angriffe auf den Infrastruktur-Scanner Checkmarx KICS und den Kommandozeilen-Client von Bitwarden zeigen eine neue Qualität von Supply-Chain-Attacken. Die Angreifer verteilten trojanisierte Versionen über offizielle Kanäle wie npm, Docker Hub und GitHub Actions. Sie unterwanderten damit
Security-Blindspot: Wie Angreifer QEMU nutzen, um Erkennungssysteme zu umgehen ...
Sophos-Analysten untersuchen den aktiven Missbrauch von QEMU (Quick Emulator), einem Open-Source-Maschinenemulator und Virtualisierungs-Tool. Angreifer nutzen QEMU und weitere gängigere, auf Hypervisoren basierende Virtualisierungs-Tools, wie Hyper-V, VirtualBox und VMware, seit längerer Zeit. Gru
Weitere Mitteilungen von Sophos Technology GmbH
DATA MODUL erweitert Curved Display-Palette ...
Mit dem 27” Curved Monitor erweitert die DATA MODUL AG ihr Portfolio um ein neues Modell, das durch sein modernes Design und seine Vielseitigkeit überzeugt. Wie alle Modelle der Curved Monitor Familie wurde dieser Monitor speziell für anspruchsvolle Anwendungen entwickelt, die höchste Anforderu
GROW Digital Group erneut im iBusiness Internet-Agentur Ranking vertreten ...
Die GROW Digital Group zählt auch 2025 wieder zu den führenden Digitalagenturen in Deutschland und hat sich im renommierten iBusiness Internet-Agentur Ranking einen Platz gesichert. In diesem Jahr belegt die Gruppe den 14. Platz. Die GROW Digital Group vereint die Leistungsbereiche: 1. E-Commerce,
Fünf Monitoring-Tipps für die Cybersecurity von OT-Netzen: die Macht des proaktiven Handelns ...
Die Integration von IT- und OT-Systemen revolutioniert die Arbeitsweise von Unternehmen und steigert ihre Effizienz. Doch diese Entwicklung bringt auch erhebliche Herausforderungen für die Cybersicherheit mit sich. OT-Netzwerke sind nun neuen Risiken und Gefahren ausgesetzt, während die zunehmende
Parasoft: Agentic AI-Ansatz erweitert API-Tests von SOAtest ...
-Agentische KI erweitert API-Tests von Parasoft SOAtest um intelligente, ergebnisorientierte Szenariotests, die Produktivität steigern und technische Hürden beseitigen. -Die Test Impact Analyse beschleunigt manuelle Regressionstests durch die Identifizierung von Tests, die auf Anwendungsänderung
