Versengés a zsarolóvírusok piacán
A DragonForce nevű kiberbűnözői csoport 2025 tavaszán jelentős átalakuláson ment keresztül, amely során agresszív stratégiával próbálta megerősíteni pozícióját a zsarolóvírusok piacán. A Sophos jelentése szerint a csoport nemcsak hagyományos IT-infrastruktúrákat, hanem virtualizált környezeteket is célba vett, különös tekintettel a hitelesítő adatok ellopására, az Active Directory rendszerek kihasználására és adatlopásra.
2025 márciusában a DragonForce bejelentette, hogy átalakul egy úgynevezett kartellé, amely lehetővé teszi partnerei számára, hogy saját márkanév alatt működjenek, miközben a DragonForce infrastruktúráját és eszközeit használják. Ez a lépés a LockBit és más érett zsarolóvírus-szolgáltatások sikerének utánzására irányult.
Az átalakulást követően a DragonForce rivális csoportokat is támadott. A BlackLock és a Mamonazsarolóvírus-csoportok adatközlő oldalait ismeretlenek megrongálták, és a jelek szerint ezek a támadások a DragonForce-hoz köthetők. Ezen kívül a RansomHub nevű csoport adatközlő oldalán is megjelentek a DragonForce kartelljét népszerűsítő bejegyzések, bár a RansomHub később cáfolta az együttműködést.
A DragonForce és a RansomHub közötti feszültség tovább fokozódott, amikor a RansomHub adatközlő oldala offline állapotba került, és a főoldalon a RansomHub R.I.P 03/03/2025 üzenet jelent meg. Ezt követően a RansomHub egyik prominens tagja, koley néven ismert személy, a DragonForce oldalát is megrongálta, és azzal vádolta meg a csoportot, hogy együttműködik a hatóságokkal és megtéveszti a többi csoportot.
A DragonForce tevékenysége nem korlátozódik a rivális csoportok elleni támadásokra. A csoport a GOLD HARVEST (Scattered Spider) nevű fenyegetéssel is kapcsolatba hozható, amely gyakran alkalmaz szociális mérnöki módszereket, távoli megfigyelési és menedzsment eszközök visszaélését, valamint többfaktoros hitelesítés megkerülését a hozzáférés megszerzése és adatok ellopása érdekében.
A Sophos jelentése szerint a DragonForce két támadást is végrehajtott brit kiskereskedők ellen, amelyek rámutatnak arra, hogy a zsarolóvírus-csoportok közötti belső háborúk nem csökkentik a szervezetekre leselkedő kockázatot. Ehelyett ezek a konfliktusok kiszámíthatatlanabb, opportunista támadásokhoz vezethetnek, mivel a csoportok igyekeznek érvényesülni és új módszerekkel pénzzé tenni az ellopott adatokat.
A Sophos szakértői hangsúlyozzák, hogy a technikai védekezés mellett elengedhetetlen a szociális mérnöki támadások elleni védelem is. Ajánlásaik között szerepel a böngésző izoláció és jelszókezelők használata, az infostealer tevékenységek észlelése, a sötét webes forrásokból származó kompromittált hitelesítő adatok monitorozása, valamint a szigorú személyazonosság-ellenőrzési protokollok bevezetése az IT-támogatás és ügyfélszolgálat területén.
