DragonForce nimmt Konkurrenten im Kampf um die Ransomware-Vorherrschaft ins Visier

DragonForce agiert als destabilisierende Kraft

„DragonForce ist nicht einfach nur eine weitere Ransomware-Marke – sie ist eine destabilisierende Kraft, die versucht, die Ransomware-Landschaft umzuwälzen und neu zu gestalten“, so Aiden Sinnott, Senior Threat Researcher, Sophos Counter Threat Unit. „Während die Gruppe in Großbritannien nach spektakulären Angriffen auf große Einzelhandelsketten in letzter Zeit die Schlagzeilen beherrschte, scheint es auch hinter den Kulissen zwischen den Cyberkriminellen zu Auseinandersetzungen zwischen DragonForce und weiteren E-Crime-Gruppen wie RansomHub zu kommen. Da sich das Ökosystem nach der Zerschlagung von LockBit rasant weiterentwickelt, unterstreicht der aktuelle Revierkampf insbesondere die Bemühungen dieser Gruppe, die Vorherrschaft zu erlangen.“

Die Sophos-Forscher verfolgen die Entwicklung der von der Gruppe ausgehenden Bedrohung seit einiger Zeit aktiv. DragonForce ist an schwerwiegenden Angriffen beteiligt, die sowohl auf traditionelle IT-Infrastrukturen als auch auf virtualisierte Umgebungen wie zum Beispiel VMware ESXi abzielen. Der Schwerpunkt liegt dabei auf dem Diebstahl von Anmeldeinformationen, dem Missbrauch von Active Directory und der Exfiltration von Daten.

Im März 2025 startete die Gruppe Bemühungen, die Vorherrschaft im Ransomware-Ökosystem zu erlangen, indem sie ein flexibleres Partnermodell einführte und andere Ransomware-Gruppen ins Visier nahm.  Als DragonForce im August 2023 auftauchte, bot es ein traditionelles RaaS-System an. Am 19. März 2025 kündigte die Gruppe die Umbenennung in ein „Kartell“ an, um ihre Reichweite zu erweitern und den Erfolg von LockBit und anderen etablierten Ransomware-as-a-Service-Gruppen (RaaS) nachzuahmen. In der Praxis handelt es sich nicht um ein Kartell, sondern um ein Angebot, das verbundenen Unternehmen die Flexibilität bietet, die Infrastruktur und Ransomware-Tools von DragonForce zu nutzen und gleichzeitig unter ihrem eigenen Markennamen zu agieren.

DragonForce überarbeitete nicht nur sein Geschäftsmodell, sondern begann auch, konkurrierende Unternehmen anzugreifen. Der „Kartell“-Post fiel mit der Verunstaltung von Leak-Websites der Ransomware-Gruppen BlackLock und Mamona zusammen, die vermutlich von DragonForce durchgeführt wurden.

Im April schien ein Beitrag auf der RansomHub-Leak-Site das DragonForce-Kartell zu bewerben und ein DragonForce-Beitrag im RAMP-Untergrundforum deutete ebenfalls auf eine Zusammenarbeit der Gruppen hin, doch ein Nachtrag deutete darauf hin, dass RansomHub die Zusammenarbeit möglicherweise nicht unterstützt.

Eine der produktivsten Gruppen nach LockBit

RansomHub ist eine der produktivsten Gruppen, die nach der LockBit-Störung und dem Untergang von ALPHV (auch bekannt als BlackCat) im Jahr 2024 entstanden sind.

Kurz nach diesen Posts ging die RansomHub-Leak-Site offline. Auf der Homepage erschien die Meldung „RansomHub R.I.P. 03.03.2025“. Die „Zusammenarbeit“ zwischen DragonForce und RansomHub scheint eher eine feindliche Übernahme durch DragonForce gewesen zu sein. Die Person „Koley“, bekannt als prominentes RansomHub-Mitglied, veröffentlichte auf RAMP eine Verunstaltung der DragonForce-Homepage zusammen mit der Nachricht „@dragonforce, schätze, ihr habt Verräter …“. Weitere Posts von Koley beschuldigten DragonForce, mit Strafverfolgungsbehörden zusammenzuarbeiten, Rivalen anzugreifen und Lügen zu verbreiten.

Zum Zeitpunkt dieser Veröffentlichung ist die DragonForce-Leak-Site nach einem längeren Ausfall wieder online. Während der Offline-Zeit zeigte die Homepage eine Meldung an, dass die Site bald wieder erreichbar sein würde. Eine ähnliche Meldung erscheint auch auf der RansomBay-Leak-Site.

„Währenddessen geht allerdings der Angriff auf Unternehmen ungebremst weiter“, so Sinnott. „Der interne Krieg zwischen Ransomware-Gruppen stört zwar deren eigene Abläufe, verringert aber nicht das Risiko für Unternehmen. Vielmehr kann er zu unberechenbareren, opportunistischeren Angriffen führen, da die Gruppen versuchen, ihre Vorherrschaft zu behaupten und gestohlene Daten auf neue Weise zu Geld zu machen. Unternehmen müssen daher ihre Strategien zur Reaktion auf Vorfälle, zur Bedrohungsaufklärung und zum Risikomanagement Dritter überdenken, um in einem zunehmend chaotischen Bedrohungsumfeld widerstandsfähig zu bleiben.“

Weitere Details zu der Untersuchung und Screenshots finden sich im englischen Original-Blogbeitrag „DragonForce targets rivals in a play for dominance“. Für vertiefende Gespräche steht Aiden Sinnott gerne zur Verfügung.