DragonForce nimmt Konkurrenten ins VisierKampf um die Ransomware-Vorherrschaft
5. Juni 2025
Die aggressive Cybercrime-Gruppe DragonForce begnügt sich nicht mit einer neuen Angriffswelle, sondern liefert sich einen Revierkampf mit anderen Ransomware-Betreibern.
Seit Februar 2024, als die internationale Strafverfolgungsoperation „Cronos“ die Leaksite LockBit lahmlegte, ist das kriminelle Ransomware-Ökosystem stark gestört. In der Folge sind nicht nur neue Geschäftsmodelle entstanden, sondern es herrscht auch ein Revierkampf, da die Gruppen um die größte Marktmacht und schlussendlich den höchsten Gewinn mit Ransomware-Operationen wetteifern. Eine Gruppe macht dabei nach Untersuchungen der Sophos Counter Threat Unit besonders große Fortschritte: DragonForce.
„DragonForce ist nicht einfach nur eine weitere Ransomware-Marke – sie ist eine destabilisierende Kraft, die versucht, die Ransomware-Landschaft umzuwälzen und neu zu gestalten“, so Aiden Sinnott, Senior Threat Researcher, Sophos Counter Threat Unit. „Während die Gruppe in Großbritannien nach spektakulären Angriffen auf große Einzelhandelsketten in letzter Zeit die Schlagzeilen beherrschte, scheint es auch hinter den Kulissen zwischen den Cyber-Kriminellen zu Auseinandersetzungen zwischen DragonForce und weiteren E-Crime-Gruppen wie RansomHub zu kommen. Da sich das Ökosystem nach der Zerschlagung von LockBit rasant weiterentwickelt, unterstreicht der aktuelle Revierkampf insbesondere die Bemühungen dieser Gruppe, die Vorherrschaft zu erlangen.“
Die Sophos-Forscher verfolgen die Entwicklung der von der Gruppe ausgehenden Bedrohung seit einiger Zeit aktiv. DragonForce ist an schwerwiegenden Angriffen beteiligt, die sowohl auf traditionelle IT-Infrastrukturen als auch auf virtualisierte Umgebungen wie zum Beispiel VMware ESXi abzielen. Der Schwerpunkt liegt dabei auf dem Diebstahl von Anmeldeinformationen, dem Missbrauch von Active Directory und der Exfiltration von Daten.
Bereits im März 2025 startete die Gruppe Bemühungen, die Vorherrschaft im Ransomware-Ökosystem zu erlangen, indem sie ein flexibleres Partnermodell einführte und andere Ransomware-Gruppen ins Visier nahm. Als DragonForce im August 2023 auftauchte, bot es ein traditionelles RaaS-System an. Am 19. März 2025 kündigte die Gruppe die Umbenennung in ein „Kartell“ an, um ihre Reichweite zu erweitern und den Erfolg von LockBit und anderen etablierten Ransomware-as-a-Service-Gruppen (RaaS) nachzuahmen. In der Praxis handelt es sich nicht um ein Kartell, sondern um ein Angebot, das verbundenen Unternehmen die Flexibilität bietet, die Infrastruktur und Ransomware-Tools von DragonForce zu nutzen und gleichzeitig unter ihrem eigenen Markennamen zu agieren.
DragonForce überarbeitete nicht nur sein Geschäftsmodell, sondern begann auch, konkurrierende Unternehmen anzugreifen. Der „Kartell“-Post fiel mit der Verunstaltung von Leak-Websites der Ransomware-Gruppen BlackLock und Mamona zusammen, die vermutlich von DragonForce durchgeführt wurden.
Im April schien ein Beitrag auf der RansomHub-Leak-Site das DragonForce-Kartell zu bewerben und ein DragonForce-Beitrag im RAMP-Untergrundforum deutete ebenfalls auf eine Zusammenarbeit der Gruppen hin, doch ein Nachtrag deutete darauf hin, dass RansomHub die Zusammenarbeit möglicherweise nicht unterstützt. (rhh)
