Búsqueda de Ciberamenazas

DragonForce ataca a sus rivales en un intento de dominar el mercado

No contento con atacar a los minoristas, este agresivo grupo está librando una guerra territorial con otros operadores de ransomware
Escrito por
30 mayo 2025
Threat Research ctu dragonforce featured gold harvest RansomHub

DragonForce no es solo otra marca de ransomware, es una fuerza desestabilizadora que intenta remodelar el panorama del ransomware. Los investigadores de la Counter Threat Unit (CTU) están siguiendo de cerca la evolución de la amenaza que representa este grupo.

Conoce al dragón

DragonForce participa en ataques de gran impacto dirigidos tanto a la infraestructura informática tradicional como a entornos virtualizados (por ejemplo, VMware ESXi), con un fuerte énfasis en el robo de credenciales, el abuso de Active Directory y la exfiltración de datos. En marzo de 2025, lanzó una iniciativa para reclamar el dominio del ecosistema del ransomware mediante la introducción de un modelo de afiliación más flexible y atacando a otros grupos de ransomware.

Una serie de ataques contra minoristas del Reino Unido que comenzaron a finales de abril pusieron a este grupo en el punto de mira, ya que informes de terceros relacionaron estos ataques con DragonForce y el grupo de amenazas GOLD HARVEST (también conocido como Scattered Spider). GOLD HARVEST utiliza con frecuencia ingeniería social, abuso de herramientas de supervisión y gestión remota (RMM) y técnicas de elusión de la autenticación multifactorial (MFA) para obtener acceso, robar datos masivos y, en ocasiones, desplegar ransomware.

Cuando DragonForce apareció en agosto de 2023, ofrecía un esquema RaaS tradicional. El 19 de marzo de 2025, el grupo anunció un cambio de marca para convertirse en un «cártel» con el fin de ampliar su alcance, con la esperanza de emular el éxito de LockBit y otros grupos maduros de ransomware como servicio (RaaS). En la práctica, no se trata de una operación de cártel, sino de una oferta que da a los afiliados la flexibilidad de aprovechar la infraestructura y las herramientas de ransomware de DragonForce mientras operan bajo sus propias marcas (véase la figura 1).

A screen capture of the 19 March 2025 announcement; the intro reads "Today I would like to present to you our new direction, we are starting to work in a new vein, according to a new principle. You no longer have to work under our brand, now you can create your own brand under the auspices of an already proven partner time! We the DragonForce Ransomware cartel present to you 'projects' now you create yourself."
Figura 1: Anuncio del cártel DragonForce

DragonForce no solo renovó su modelo de negocio, sino que comenzó a atacar a sus rivales. La publicación del «cártel» coincidió con la desfiguración de sitios web de filtración operados por los grupos de ransomware BlackLock y Mamona. Las desfiguraciones parecían haber sido realizadas por DragonForce, como se puede ver en las capturas de pantalla comparadas de la figura 2.

Two screens showing the BlackLock and Mamona defacements as described in text
Figura 2: sitios web de filtración desfigurados de Mamona (izquierda) y BlackLock (derecha)

En abril, una publicación en el sitio web de filtración RansomHub parecía promocionar el cártel DragonForce, como se puede ver en la figura 3. Una publicación de DragonForce en el foro clandestino RAMP también parecía indicar que los grupos estaban trabajando juntos, pero la posdata sugería que RansomHub podría no apoyar la colaboración (véase la figura 4). RansomHub es uno de los grupos más prolíficos que han surgido tras la desaparición de LockBit y ALPHV (también conocido como BlackCat) en 2024.

A screen capture showing the DragonForce mention on RansomHub as described in text
Figura 3: mención del cártel DragonForce en el sitio web de filtraciones RansomHub
A screen capture showing the "collaboration" -- text reads "DragonForce & RansomHub -- Hi. Don't worry RansomHub will be up soon, they just decided to move to our infrastructure! We are reliable partners. A good example of how 'projects' work, a new option from The DragonForce Ransomware Cartel!" A postscript at the bottom reads "P.S. -- RansomHub hope you are doing well, consider our offer! We are waiting for everyone in our ranks."
Figura 4: publicación de DragonForce que sugiere una colaboración con RansomHub

Poco después de estas publicaciones, el sitio de filtraciones RansomHub dejó de estar disponible. La página de inicio mostraba el mensaje «RansomHub R.I.P 03/03/2025». La «colaboración» entre DragonForce y RansomHub parece haber sido más bien una adquisición hostil por parte de DragonForce. El personaje «koley», conocido por ser un miembro destacado de RansomHub, publicó una desfiguración de la página de inicio de DragonForce en RAMP (véase la figura 5), junto con el mensaje «@dragonforce supongo que tenéis traidores…». En otras publicaciones, koley acusó a DragonForce de colaborar con las fuerzas del orden, atacar a sus rivales y mentir.

An image showing a crossed-out DragonForce logo and three derpy-looking cartoon dragons
Figura 5: desfiguración del sitio web de filtraciones de DragonForce compartida por el miembro de RansomHub «koley»

En el momento de publicar este artículo, el sitio web de filtraciones de DragonForce vuelve a estar en línea tras un largo periodo de inactividad. Durante ese tiempo, la página de inicio mostraba un mensaje en el que se indicaba que volvería a estar disponible en breve, y un mensaje similar aparece en el sitio web de filtraciones RansomBay (véase la figura 6).

A pair of images; on the left, DragonForce announcement reads "We will be up soon -- Our blog and files server will be up on 29.04.2025 00:00 UTC Thank you for your patience." On the right, the RansomHub announcement reads "Went on a journey... We're still in search for a pirates!"
Figura 6: páginas de inicio de los sitios web de filtraciones DragonForce y RansomBay a fecha de 2 de mayo de 2025

En mayo de 2025, el minorista británico Marks and Spencer fue objeto de un importante ciberataque que se atribuyó públicamente a GOLD HARVEST (denominado Scattered Spider en el informe), aunque esta atribución no se ha confirmado oficialmente. Este grupo es un colectivo ciberdelincuente poco organizado formado por agentes maliciosos individuales que colaboran a través de una red compartida de foros clandestinos y canales de chat cifrados utilizados por una comunidad de personas con ideas afines conocida como «The Com». Los agentes maliciosos de esta comunidad coordinan servicios maliciosos para llevar a cabo ataques, intercambiar herramientas y compartir tácticas dentro de este ecosistema descentralizado. Según se informa, GOLD HARVEST desplegó el ransomware DragonForce en este ataque.

Se sabe que GOLD HARVEST opera como afiliado de ransomware, desplegando el ransomware ALPHV en ataques contra MGM Resorts en 2023 y, según se informa, utilizando RansomHub en ataques a lo largo de 2024. Los actores maliciosos utilizan una amplia gama de tácticas, técnicas y procedimientos (TTP) en sus ataques, pero son conocidos por su eficaz uso de la ingeniería social. A menudo obtienen acceso a las organizaciones dirigiéndose a los servicios de asistencia informática. La atribución pública del ataque a Marks and Spencer puede basarse en la creencia de que el ataque comenzó con ingeniería social, quizás dirigida al personal del servicio de asistencia.

La ingeniería social es una amenaza universal y no es exclusiva de GOLD HARVEST, aunque el grupo ha sido experto en utilizar este enfoque a través del correo electrónico y las llamadas telefónicas. Existe una interacción cada vez mayor entre la ingeniería social y las credenciales robadas. GOLD HARVEST es conocido por emplear infostealers comerciales como Vidar y Raccoon, que recopilan contraseñas, cookies y tokens de sesión guardados en el navegador. Estas credenciales pueden permitir el acceso inicial directo o respaldar intentos de ingeniería social más convincentes al permitir a los atacantes hacer referencia a sistemas internos o imitar el comportamiento legítimo de los empleados.

DragonForce ha reivindicado dos ataques que han afectado a minoristas del Reino Unido. Estos ataques ponen de relieve la necesidad de que las empresas del sector minorista estén alerta. La guerra interna entre los grupos de ransomware perturba sus propias operaciones, pero no reduce el riesgo para las organizaciones. De hecho, puede dar lugar a ataques más erráticos y oportunistas, ya que los grupos se apresuran a afirmar su dominio y a monetizar los datos robados de nuevas formas. Por lo tanto, las organizaciones deben revisar sus estrategias de respuesta a incidentes, inteligencia sobre amenazas y gestión de riesgos de terceros para seguir siendo resilientes en un entorno de amenazas cada vez más caótico.

Consejos para los defensores

Aunque los controles técnicos siguen siendo esenciales para detectar y mitigar la actividad de GOLD HARVEST y DragonForce, deben reforzarse con procesos internos sólidos y una vigilancia humana constante. Estos ataques refuerzan la idea de que las vulnerabilidades técnicas suelen comenzar con vulnerabilidades sociales. Las conversaciones son a menudo el punto de partida, no los exploits. Las organizaciones deben reducir su exposición a la ingeniería social combinando controles técnicos con disciplina procedimental. Los investigadores de CTU recomiendan que las organizaciones tomen las siguientes medidas para mitigar los riesgos de estos ataques:

  • Implementar el aislamiento del navegador y los gestores de contraseñas para evitar la recolección de credenciales guardadas.

  • Implementar la detección de endpoints para la actividad de infostealer, incluido el robo de credenciales y cookies de sesión.

  • Utilizar una solución de supervisión de identidades que utilice fuentes de la dark web y feeds de inteligencia sobre amenazas para supervisar continuamente las credenciales comprometidas.

  • Aplicar protocolos estrictos de verificación de identidades para el soporte de TI y las interacciones con el servicio de asistencia.

  • Establecer vías de escalado claras para capacitar al personal de primera línea para que resista las solicitudes inusuales o urgentes hasta que puedan verificarse.

  • Realizar ejercicios de simulación periódicos que simulen escenarios de ingeniería social y amenazas internas.

Acerca del autor

Sophos Counter Threat Unit™ (CTU) researchers are recognized authorities in the cybersecurity field, regularly contributing expert analysis to global media, publishing technical analyses for the security community, and presenting about emerging threats at leading security conferences. Backed by Sophos’ advanced security technologies and a broad network of intelligence contacts and partners, the CTU™ plays a critical role in identifying and tracking threat actors and analyzing anomalous activity, uncovering new attack techniques, threats, and major shifts in the threat landscape.

Leer artículos similares