A DragonForce nevű csoport már nemcsak vállalkozásokat támad, hanem a rivális zsarolóvírus-bűnbandákkal is háborúzik a digitális trónért – állítják kiberbiztonsági szakértők.
A múlt év februárjában végrehajtott nemzetközi rendőrségi akció, a Cronos, térdre kényszerítette a rettegett LockBit zsarolóvírus-hálózatot. Azóta forrong a kiberbűnözők világa, mintha egy digitális vadnyugaton lennének, ahol a hatalomért és a profitért folyik a harc, jönnek az új trónkövetelők.
Közülük – a Sophos biztonsági szakértői szerint – a DragonForce az, amely jelenleg a leggyorsabban kapaszkodik felfelé a ranglétrán.
„Ez a csoport nemcsak újabb játékos a pályán – ők teljesen át akarják írni a szabályokat” – mondja Aiden Sinnott, a Sophos Counter Threat Unit vezetője. Úgy véli a DragonForce egyszerre támad vállalatokat, versenytársakat és akár szövetségesnek hitt csoportokat is, miközben üzleti modelljét folyamatosan alakítja a gyors terjeszkedés érdekében.
Így folyik a harc a digitális maffiában
Amikor a DragonForce 2023. augusztusában megjelent, még hagyományos „Ransomware-as-a-Service” modellt követett, vagyis más bűnözőknek is lehetőséget adott arra, hogy szolgáltatásként használják zsarolóvírusát.
Idén tavasztól azonban szintet lépett: bejelentette, hogy „kartellként” működik tovább – legalábbis a felszínen. A valóságban a partnereik DragonForce-eszközökkel, de saját márkanév alatt dolgozhatnak, mintha csak franchise-t vásároltak volna.
Ezzel párhuzamosan viszont a csoport brutálisan leszámolt több riválisával is. A BlackLock és Mamona zsarolóvírus-csoportok szivárogtató oldala hirtelen elérhetetlenné vált, a háttérben valószínűleg a DragonForce akciózott.
A LockBit bukása után felkapott RansomHub csoporttal előbb együttműködésre utaló jelek mutatkoztak – majd egy gyors fordulattal a RansomHub oldala is megszűnt.
„RansomHub R.I.P. 2025.03.03.” – ez állt az oldalon. Az események alapján sokkal inkább egy digitális „ellenséges felvásárlásnak” tűnik az eset, mint partnerségnek.
A történetben újabb csavar, hogy egy „Koley” nevű ismert RansomHub-tag nyilvánosan azzal vádolta meg a DragonForce-ot, hogy együttműködik a hatóságokkal, és árulók vannak a soraiban.
A célkereszt közepén továbbra is a cégek állnak
A háttérben ugyanakkor a vállalatok továbbra is célkeresztben maradtak. A DragonForce támadásai nemcsak hagyományos informatikai rendszereket érintenek, hanem a virtualizált környezeteket is, mint például a VMware ESXi. A cél a belépési adatok megszerzése, az Active Directory-kihasználás és persze az adatlopás.
„Miközben ezek a csoportok egymás ellen is háborúznak, a cégek szempontjából ez nem jó hír – sőt, a helyzet még kiszámíthatatlanabbá válik. A vállalatoknak újra kell gondolniuk, hogyan kezelik a fenyegetéseket és az incidenseket, mert a digitális alvilágban már nemcsak a pénzről, hanem a dominanciáról is szól a játék” – figyelmeztet a szakértő.
