DragonForce non è solo un altro brand del ransomware – è una forza destabilizzante che cerca di rimodellare il panorama delle minacce. I ricercatori del Counter Threat Unit (CTU) stanno monitorando attivamente l’evoluzione della minaccia rappresentata da questo gruppo.
Entra in scena il drago
DragonForce è coinvolto in attacchi ad alto impatto che colpiscono sia l’infrastruttura IT tradizionale sia gli ambienti virtualizzati (es. VMware ESXi), con forte enfasi sul furto di credenziali, l’abuso di Active Directory e l’esfiltrazione di dati.
Nel marzo 2025 ha avviato un’operazione per affermare il proprio dominio nell’ecosistema ransomware, introducendo un modello di affiliazione più flessibile e prendendo di mira altri gruppi ransomware.
Una serie di attacchi ai rivenditori del Regno Unito, iniziata a fine aprile, ha messo il gruppo sotto i riflettori, poiché vari report lo hanno collegato a DragonForce e al gruppo di minaccia GOLD HARVEST (noto anche come Scattered Spider).
GOLD HARVEST fa largo uso di tecniche di social engineering, abuso di strumenti di monitoraggio e gestione remota (RMM) e bypass dell’autenticazione a più fattori (MFA) per ottenere accesso, rubare grandi volumi di dati e, in alcuni casi, distribuire ransomware.
Quando DragonForce è emerso nell’agosto 2023, offriva un classico schema RaaS (ransomware-as-a-service). Il 19 marzo 2025 ha annunciato una riorganizzazione, presentandosi come un “cartello” con l’obiettivo di espandere la propria influenza, ispirandosi al successo di LockBit e di altri gruppi RaaS maturi.
In pratica, non si tratta di un vero cartello, ma di un’offerta che consente agli affiliati di utilizzare l’infrastruttura e gli strumenti ransomware di DragonForce operando però sotto un proprio brand (vedi Figura 1).
Attacchi ai concorrenti
DragonForce non si è limitato a rinnovare il proprio modello di business: ha iniziato ad attaccare anche gruppi rivali.
Il post di annuncio del “cartello” ha coinciso con la defacement di siti di leak gestiti dai gruppi ransomware BlackLock e Mamona. I defacement sembrano essere stati eseguiti da DragonForce, come mostrato nei confronti a schermo nella Figura 2.
Ad aprile, un post sul sito di leak RansomHub sembrava promuovere il cartello DragonForce (vedi Figura 3). Un altro post su RAMP, forum underground, suggeriva una possibile collaborazione tra i gruppi, anche se un postscript lasciava intendere che RansomHub potrebbe non supportare realmente l’alleanza (vedi Figura 4).
RansomHub è uno dei gruppi più attivi emersi dopo la disgregazione di LockBit e la fine di ALPHV (noto anche come BlackCat) nel 2024.
Continua a leggere l’articolo.
