DragonForce: Ransomware-Kartell festigt seine Machtposition

Die Ransomware-Gruppe DragonForce rückt zunehmend in den Fokus der Cybersicherheitsbranche. Eine aktuelle Analyse von Bitdefender beleuchtet die Aktivitäten des Kartells im Bereich „Ransomware-as-a-Service“ und zeigt: Die Gruppe verfolgt gezielt Strategien, um ihre Stellung im kriminellen Ökosystem zu stärken. Seit den ersten dokumentierten Angriffen im Jahr 2023 hat DragonForce sein Geschäftsmodell erheblich weiterentwickelt. Die Gruppe setzt auf ein partnerschaftliches Netzwerk, gewinnt neue wie erfahrene Akteure für ihre Zwecke und baut systematisch ihren Einfluss aus. Damit positioniert sich DragonForce als eine der derzeit relevantesten Bedrohungen – insbesondere mit Blick auf das Jahr 2025.

Ransomware ist längst mehr als nur ein lukratives Geschäftsfeld. Es handelt sich um eine organisierte Szene, in der neben technischer Finesse auch strategisches Denken und Marktbeherrschung entscheidend sind. DragonForce scheint all diese Faktoren zu vereinen – und bleibt damit ein Akteur, den Sicherheitsverantwortliche genau im Auge behalten sollten.

Wer steckt hinter DragonForce?

Zwischen Cyberkriminalität und politischer Verwirrung: Eine Analyse der Ransomware-Gruppe DragonForce.

Nicht zu verwechseln mit der gleichnamigen Metal-Band, steht der Name DragonForce in der Cybersicherheitswelt für eine Ransomware-Gruppe, die erstmals im Herbst 2023 identifiziert wurde. Ursprünglich im Umfeld sogenannter „Ransomware-as-a-Service“-Modelle (RaaS) aktiv, entwickelte sich die Gruppierung seither zu einem gut vernetzten Ransomware-Kartell.

Ursprung unklar – Malaysia oder Russland?

Verwirrung stiftet vor allem die Namensgleichheit mit der malaysischen Hacktivisten-Gruppe DragonForce Malaysia, die bereits 2021 durch Angriffe auf Organisationen im Nahen Osten bekannt wurde. Trotz des ähnlichen Namens gibt es bislang keine stichhaltigen Beweise dafür, dass die heutige Ransomware-Gruppe direkt mit den malaysischen Hacktivisten in Verbindung steht.

Vielmehr deuten technische Spuren darauf hin, dass DragonForce auf eine mit Russland assoziierte Infrastruktur zurückgreift – ein Indiz dafür, dass die Gruppe möglicherweise russischen Interessen dient. Unterstützt wird diese These durch Aktivitäten auf der Cybercrime-Plattform RAMP, wo DragonForce nicht nur neue Mitglieder rekrutierte, sondern von anderen Gruppen – darunter RansomHub – sogar verdächtigt wurde, Verbindungen zum russischen Geheimdienst FSB zu unterhalten.

Ransomware statt Ideologie

Ein zentraler Unterschied zwischen klassischen Hacktivisten und Ransomware-Gruppen liegt in ihrer Motivation. Während Hacktivisten meist von politischen, ideologischen oder sozialen Zielen getrieben werden, stehen bei Ransomware-Gruppen in erster Linie wirtschaftliche Interessen im Vordergrund – so auch bei DragonForce.

Zwar gibt es Fälle, in denen sich Gruppen aus dem einen Lager in das andere bewegen – etwa um flexibler bei der Zielauswahl zu sein oder aufgrund organisatorischer Umstrukturierungen. Doch DragonForce agiert durchgängig mit Ransomware – ihre eingesetzten Werkzeuge ähnelten zunächst stark der bekannten LockBit-3.0-Variante, bevor sie 2024 ihr Modell weiterentwickelten und eine modifizierte Version der Conti-Ransomware in ihr Repertoire aufnahmen.

Zwischen den Welten – aber klar ein Kartell

Trotz möglicher Überschneidungen in Taktiken und Werkzeugen lässt sich DragonForce aktuell eindeutig dem Bereich der organisierten Cyberkriminalität zuordnen – nicht dem der Hacktivisten. Zwar könnten durch Leaks oder Sicherheitslücken auch politische Gruppen Zugriff auf DragonForce-Ransomware erhalten und sie für ihre Zwecke nutzen. Doch das ändert nichts am kommerziellen Kern der Gruppierung.

DragonForce operiert als kriminelles Netzwerk – mit klarer Profitabsicht, strategischen Partnerschaften und einer wachsenden Präsenz in der Ransomware-Szene. Für Cybersicherheitsexperten weltweit ist die Gruppe damit ein Akteur, der 2025 weiter genau beobachtet werden muss.

DragonForce setzt auf gezielte Angriffe statt Massenkampagnen

Demnach setzt die Gruppe weniger auf großflächige Angriffe, sondern auf strategisch ausgewählte Ziele – getreu dem Motto: Qualität vor Quantität, so die Analyse des Bitdefender-Expertenteams.

Im Jahr 2024 verzeichnete DragonForce über 120 bestätigte Opfer – darunter Organisationen aus den USA, Italien und Australien. Der bisher aktivste Monat war April 2024 mit 23 dokumentierten Angriffen. Im Vergleich zu anderen Gruppen wie RansomHub mag diese Zahl moderat erscheinen, doch DragonForce überzeugt durch Taktik, technologische Anpassungsfähigkeit und gezielte Opferauswahl – und behauptet sich damit erfolgreich im internationalen Ransomware-Markt.

Technisch breit aufgestellt – branchenübergreifend aktiv

Die Gruppe verfügt über maßgeschneiderte Verschlüsselungsprogramme für Windows-, Linux- und ESXi-Systeme. Zielscheiben ihrer Kampagnen waren bislang vor allem Unternehmen aus den Branchen Fertigung, Bauwesen, Technologie, Gesundheitswesen und Einzelhandel.

Forderungen in Millionenhöhe – angepasst an das Opfer

Auffällig ist auch das differenzierte Vorgehen bei der Höhe der Lösegeldforderungen. DragonForce analysiert die finanzielle Lage ihrer Opfer offenbar sehr genau: Die Forderungen variieren stark – von mehreren Hunderttausend bis zu mehreren Millionen US-Dollar. In einem dokumentierten Fall aus dem Jahr 2024 forderte die Gruppe von einem Unternehmen eine Summe von 7 Millionen Dollar.

Mit dieser Kombination aus technischer Vielseitigkeit, wirtschaftlicher Kalkulation und gezielter Angriffstaktik etabliert sich DragonForce zunehmend als feste Größe im Ransomware-Ökosystem – und bleibt damit ein ernstzunehmender Akteur für Sicherheitsbehörden und Unternehmen weltweit.

Ereignisse während der Umwandlung des Kartells

In den letzten Monaten stand DragonForce mit mehreren anderen Bedrohungsakteuren in Kontakt. Vor kurzem wurde berichtet, dass DragonForce Opfer im Einzelhandel auf ähnliche Weise wie ein anderer Bedrohungsakteur namens Scattered Spider angegriffen hat. Scattered Spider hat taktische Partnerschaften mit anderen Ransomware-Gruppen geschlossen, insbesondere mit solchen, die in der Vergangenheit mit Russland in Verbindung standen, darunter ALPHV und RansomHub. Scattered Spider verschafft sich zunächst mithilfe von Social-Engineering-Techniken Zugang zu Systemen, indem es sich als IT-Mitarbeiter ausgibt, um Mitarbeitern zu helfen, die Unterstützung benötigen, bevor es die Ransomware DragonForce und andere schädliche Tools einsetzt.

Anfang Mai veröffentlichte DragonForce auf der Datenleck-Website: Ein Beispiel für unser neues „Projekte“-System. Der Beitrag verwies auf Onion-Links, die in der folgenden Abbildung unkenntlich gemacht wurden, zum Blog und zur Infrastruktur von RansomHub. Nach dem Anklicken wurden diese Links zu einer Seite weitergeleitet, auf der folgender Text angezeigt wurde: RansomHub R.I.P. (03.03.2025).

Grafik/Quelle: Bitdefender

Diese Maßnahmen erfolgten mehrere Wochen nach der Abschaltung der Infrastruktur von RansomHub und der Bekanntgabe einer Partnerschaft mit DragonForce. Ein Beitrag auf der Datenleck-Website von DragonForce fordert RansomHub jedoch weiterhin auf, sich ihnen anzuschließen, was darauf schließen lässt, dass RansomHub der Partnerschaft nicht freiwillig zugestimmt hat.

Im März 2025 verunstaltete DragonForce zudem die Datenleck-Website der Gruppe Mamona, nachdem deren Infrastruktur öffentlich gemacht worden war. Die Verunstaltung von Mamona war vermutlich Teil eines vorher geplanten Plans, um aufstrebende RaaS-Gruppen zu zerschlagen.

Was steckt hinter dem Angebot von DragonForce?

Die Ransomware-Gruppe DragonForce hebt sich deutlich von anderen RaaS-Kartellen (Ransomware-as-a-Service) ab. Im Gegensatz zu üblichen Anbietern bietet DragonForce seinen Partnern nicht nur satte 80 Prozent der erbeuteten Lösegeldsummen, sondern stellt ihnen auch umfassende technische Infrastruktur bereit. Diese ermöglicht es den Partnern, ihre Online-Präsenz zu verwalten und gezielte Ransomware-Angriffe durchzuführen.

Zum Angebot zählen automatisierte Arbeitsprozesse, ein eigener Blog, ein Dateiserver sowie Admin- und Client-Panels. Zudem gewährleistet DragonForce eine Rund-um-die-Uhr-Überwachung, stellt enorme Speicherkapazitäten in Petabyte-Größe bereit und bietet spezielle Funktionen wie die Kerberos-Entschlüsselung an – all das mit dem Ziel, die Effizienz und Reichweite der Angriffe zu maximieren.

Technisch überzeugen die Windows-Verschlüsselungsprogramme durch flexible Optionen: Sie erlauben sowohl partielle als auch vollständige Verschlüsselungen inklusive der Dateinamen und Protokolle. Die Nutzer können gezielt auswählen, welche Ordner verschlüsselt werden sollen.

Bei der Analyse des DragonForce-DLS zeigt sich außerdem, dass die Gruppe offenbar aus früheren Fällen gelernt hat. So wurde etwa der im Frühjahr veröffentlichte Akira-Entschlüsselungsprozess, der auf einem GPU-Cluster basiert, offenbar genutzt, um die eigenen Methoden zur Verschlüsselung und Dateiwiederherstellung auf Linux-, ESXi- und anderen Systemen zu verbessern. Genauere Details zu den jeweiligen Verschlüsselungsparametern für diese Systeme sind in der folgenden Abbildung zu finden.

Verschlüsselungsfunktionen für ESXi, Linux, BSD und NAS.

Indem DragonForce anderen Ransomware-Gruppen beim Aufbau ihrer Infrastruktur hilft, sichert sich die Gruppe die Kontrolle über wichtige Ressourcen von Verbündeten und Konkurrenten. So kann DragonForce gezielt Dienste deaktivieren oder entfernen, die mit anderen Bedrohungsakteuren in Verbindung stehen – insbesondere wenn deren Interessen mit den eigenen kollidieren oder potenziell den Gewinn schmälern könnten.

Russischer Kannibalismus: Wer überholt die Russen im Ransomware-Markt?

Im April verschwand mit RansomHub ein bedeutender russischer Akteur aus dem Ransomware-Ökosystem von der Bildfläche. Nur einen Monat später wurde auch LockBit kompromittiert – ein Vorfall, der mit einer mysteriösen Nachricht auf der Infrastruktur eines Opfers endete: „Don’t do crime CRIME IS BAD xoxo from Prague“ („Begeht keine Verbrechen, Verbrechen sind schlecht, xoxo aus Prag“). Könnte DragonForce hinter dem Angriff auf LockBit stecken? Möglich erscheint es durchaus. Insbesondere angesichts der wachsenden Affiliate-Struktur von DragonForce, die womöglich Insider oder Rivalen aus anderen Gruppen umfasst, gewinnt diese Theorie an Gewicht.

Warum ringen andere Gruppen überhaupt um die Kontrolle über Ressourcen und Opfer? Da DragonForce lediglich 20 Prozent der Affiliate-Gewinne für sich beansprucht, geht es hier offenbar weniger um reine Gewinnmaximierung, sondern vielmehr um Macht und Einfluss. Durch das Ausschalten von Konkurrenten oder potenziellen Störfaktoren sichert sich DragonForce Stabilität – ein wichtiges Gut in der instabilen und oft zerstrittenen Welt der Ransomware. Mit der Fähigkeit, die eigenen Infrastruktur-Dienstleistungen gezielt zu kontrollieren oder abzuschalten, minimiert DragonForce die Risiken, die aus zerbrechlichen Partnerschaften und internen Konflikten entstehen.

Empfehlungen von Bitdefender

Ein mehrschichtiger Sicherheitsansatz, der Präventions-, Schutz-, Erkennungs- und Reaktionsmaßnahmen kombiniert, ist unerlässlich, um das Risiko durch Ransomware zu minimieren und eine ausgereifte Sicherheitsstrategie zu entwickeln.

Präventive Sicherheitsmaßnahmen, insbesondere Patch-Management und Risikomanagement, helfen Unternehmen dabei, Schwachstellen wie veraltete oder anfällige Systemkomponenten zu beseitigen, bevor sie zu ernsthaften Risiken werden.

Sicherheitsmaßnahmen zum Schutz, darunter unter anderem Netzwerkschutz, Malware-Schutz und Ransomware-Schutz, sind ebenfalls von entscheidender Bedeutung, um sowohl sensible Daten als auch Systemressourcen zu schützen. Darüber hinaus kann die Implementierung einer Multi-Faktor-Authentifizierung (MFA) eine weitere Verteidigungsstufe hinzufügen, die es Angreifern, einschließlich denen, die an exponierte Anmeldedaten gelangt sind, erschwert, unbefugten Zugriff auf ein Zielsystem zu erlangen.

Advanced Threat Intelligence: Die richtigen Threat-Intelligence-Lösungen können wichtige Einblicke in Angriffe liefern. Bitdefender IntelliZone fasst alle unsere Erkenntnisse über Cyberbedrohungen und die damit verbundenen Bedrohungsakteure in einer einzigen Konsole zusammen, die Sicherheitsanalysten nutzen können. Wenn Sie über ein IntelliZone-Konto verfügen, finden Sie weitere strukturierte Informationen unter den folgenden Bedrohungs-IDs: BDwi1buv8f, BDm18y8qto, BDxso4f8qr und BDuwpdacqn.

Erkennungsmaßnahmen, die Incident Investigation and Forensics und Threat Response umfassen, helfen Unternehmen dabei, kontinuierliche Verfahren zur Identifizierung von Aktivitäten und IOCs für weitere Untersuchungen aufrechtzuerhalten – zusammen mit Maßnahmen zur Reaktion auf Ereignisse und Vorfälle, sobald diese auftreten.

Das Verständnis, wie legitime Binärdateien in Ihrer Umgebung missbraucht werden können, und das Risikoprofil Ihrer individuellen Benutzer und Assets sind entscheidende Schritte zum Aufbau einer proaktiven Verteidigungsstrategie. Unsere GravityZone PHASR (Proactive Hardening and Attack Surface Reduction) Technologie kombiniert maschinelles Lernen mit Verhaltensanalysen, um Angriffsvektoren zu identifizieren und umsetzbare, maßgeschneiderte Empfehlungen zur Reduzierung der Angriffsfläche zu implementieren.

PHASR ist auch deshalb einzigartig, weil es LOTL-Anwendungsfälle proaktiv bewertet. Es kann Angriffe identifizieren und verhindern, die mit ähnlichen bösartigen Kontexten in Ransomware und Angreifer-Playbooks arbeiten.

Eng verknüpft mit DragonForce ist ein aktueller Bericht über eine ungewöhnliche Variante der DragonForce-Ransomware, die in Zusammenhang mit dem neu aufgetauchten DEVMAN-Angreifer steht. Dies wurde am Dienstag in einem Blogbeitrag von ANY.RUN ausführlich dargestellt.

Laut ANY.RUN hat DEVMAN seit seinem Auftreten in der Ransomware-Szene bereits fast 40 Opfer gefordert. Die Gruppe ist mindestens seit Mai 2025 aktiv und verzeichnete allein in diesem Monat 13 Angriffe – womit sie laut Cyble knapp hinter den fünf Ransomware-Gruppen mit den meisten Attacken im Mai liegt.

Eine Analyse des Offensive-Security-Experten und Threat-Intelligence-Analysten Mauro Eldritch liefert weitere Einblicke in die von DEVMAN entwickelte maßgeschneiderte Ransomware sowie deren Verbindungen zu den Ransomware-as-a-Service-Gruppen (RaaS) DragonForce und Cont.

---

---