Seit Februar 2024, als die internationale Strafverfolgungsoperation „Cronos“ die Leaksite LockBit lahmlegte, ist das kriminelle Ransomware-Ökosystem stark gestört. In der Folge sind nicht nur neue Geschäftsmodelle entstanden, sondern es herrscht auch ein Revierkampf, da die Gruppen um die größte Marktmacht und schlussendlich den höchsten Gewinn mit Ransomware-Operationen wetteifern. Eine Gruppe macht dabei nach Untersuchungen der Sophos Counter Risk Unit besonders große Fortschritte: DragonForce.
DragonForce agiert als destabilisierende Kraft
„DragonForce ist nicht einfach nur eine weitere Ransomware-Marke – sie ist eine destabilisierende Kraft, die versucht, die Ransomware-Landschaft umzuwälzen und neu zu gestalten“, so Aiden Sinnott, Senior Risk Researcher, Sophos Counter Risk Unit. „Während die Gruppe in Großbritannien nach spektakulären Angriffen auf große Einzelhandelsketten in letzter Zeit die Schlagzeilen beherrschte, scheint es auch hinter den Kulissen zwischen den Cyberkriminellen zu Auseinandersetzungen zwischen DragonForce und weiteren E-Crime-Gruppen wie RansomHub zu kommen. Da sich das Ökosystem nach der Zerschlagung von LockBit rasant weiterentwickelt, unterstreicht der aktuelle Revierkampf insbesondere die Bemühungen dieser Gruppe, die Vorherrschaft zu erlangen.“
Die Sophos-Forscher verfolgen die Entwicklung der von der Gruppe ausgehenden Bedrohung seit einiger Zeit aktiv. DragonForce ist an schwerwiegenden Angriffen beteiligt, die sowohl auf traditionelle IT-Infrastrukturen als auch auf virtualisierte Umgebungen wie zum Beispiel VMware ESXi abzielen. Der Schwerpunkt liegt dabei auf dem Diebstahl von Anmeldeinformationen, dem Missbrauch von Energetic Listing und der Exfiltration von Daten.
Im März 2025 startete die Gruppe Bemühungen, die Vorherrschaft im Ransomware-Ökosystem zu erlangen, indem sie ein flexibleres Partnermodell einführte und andere Ransomware-Gruppen ins Visier nahm. Als DragonForce im August 2023 auftauchte, bot es ein traditionelles RaaS-System an. Am 19. März 2025 kündigte die Gruppe die Umbenennung in ein „Kartell“ an, um ihre Reichweite zu erweitern und den Erfolg von LockBit und anderen etablierten Ransomware-as-a-Service-Gruppen (RaaS) nachzuahmen. In der Praxis handelt es sich nicht um ein Kartell, sondern um ein Angebot, das verbundenen Unternehmen die Flexibilität bietet, die Infrastruktur und Ransomware-Instruments von DragonForce zu nutzen und gleichzeitig unter ihrem eigenen Markennamen zu agieren.
DragonForce überarbeitete nicht nur sein Geschäftsmodell, sondern begann auch, konkurrierende Unternehmen anzugreifen. Der „Kartell“-Submit fiel mit der Verunstaltung von Leak-Web sites der Ransomware-Gruppen BlackLock und Mamona zusammen, die vermutlich von DragonForce durchgeführt wurden.
Im April schien ein Beitrag auf der RansomHub-Leak-Web site das DragonForce-Kartell zu bewerben und ein DragonForce-Beitrag im RAMP-Untergrundforum deutete ebenfalls auf eine Zusammenarbeit der Gruppen hin, doch ein Nachtrag deutete darauf hin, dass RansomHub die Zusammenarbeit möglicherweise nicht unterstützt.
Fehdehandschuh für die Ransomware-Gruppe RansomHub
RansomHub ist eine der produktivsten Gruppen, die nach der LockBit-Störung und dem Untergang von ALPHV (auch bekannt als BlackCat) im Jahr 2024 entstanden sind. Kurz nach diesen Posts ging die RansomHub-Leak-Web site offline. Auf der Homepage erschien die Meldung „RansomHub R.I.P. 03.03.2025“. Die „Zusammenarbeit“ zwischen DragonForce und RansomHub scheint eher eine feindliche Übernahme durch DragonForce gewesen zu sein. Die Particular person „Koley“, bekannt als prominentes RansomHub-Mitglied, veröffentlichte auf RAMP eine Verunstaltung der DragonForce-Homepage zusammen mit der Nachricht „@dragonforce, schätze, ihr habt Verräter …“. Weitere Posts von Koley beschuldigten DragonForce, mit Strafverfolgungsbehörden zusammenzuarbeiten, Rivalen anzugreifen und Lügen zu verbreiten.
Zum Zeitpunkt dieser Veröffentlichung ist die DragonForce-Leak-Web site nach einem längeren Ausfall wieder on-line. Während der Offline-Zeit zeigte die Homepage eine Meldung an, dass die Web site bald wieder erreichbar sein würde. Eine ähnliche Meldung erscheint auch auf der RansomBay-Leak-Web site.
„Währenddessen geht allerdings der Angriff auf Unternehmen ungebremst weiter“, so Sinnott. „Der interne Krieg zwischen Ransomware-Gruppen stört zwar deren eigene Abläufe, verringert aber nicht das Risiko für Unternehmen. Vielmehr kann er zu unberechenbareren, opportunistischeren Angriffen führen, da die Gruppen versuchen, ihre Vorherrschaft zu behaupten und gestohlene Daten auf neue Weise zu Geld zu machen. Unternehmen müssen daher ihre Strategien zur Reaktion auf Vorfälle, zur Bedrohungsaufklärung und zum Risikomanagement Dritter überdenken, um in einem zunehmend chaotischen Bedrohungsumfeld widerstandsfähig zu bleiben.“
Weitere Particulars zu der Untersuchung und Screenshots finden sich im englischen Unique-Blogbeitrag „DragonForce targets rivals in a play for dominance“. Für vertiefende Gespräche steht Aiden Sinnott gerne zur Verfügung.
