Cartel de Ransomware DragonForce contra todos

La historia del Cártel de Ransomware DragonForce (DFRC, DragonForce) comienza en algún lugar, pero los investigadores no pueden ponerse de acuerdo sobre si empezó como un grupo hacktivista, un nuevo grupo distinto, o un poco de ambos. De hecho, cuanto más profundizas en DFRC, más se vuelve obfuscado. Es difícil encontrar todos los detalles interesantes de la historia familiar en esta narrativa, y así es exactamente como les gusta.

¿Qué hay en un nombre?

DragonForce es un nombre genial para un actor de amenazas. Los dragones se encuentran en la literatura de fantasía, juegos de rol (RPGs), juegos en línea y esports, subculturas como el cyberpunk y el manga, y la serie de mitología oriental y artes marciales. El dragón proyecta una imagen de peligro y poder, y tiene una gran presencia en las subculturas hacker. Adoptar el nombre DragonForce permitió al grupo de ransomware aprovechar un símbolo que impone respeto.

Compartir el nombre de la marca con otro grupo también puede ser útil, ya que esto puede complicar las investigaciones posteriores al ataque. Este es ciertamente el caso con DragonForce Ransomware, como verás en la siguiente sección.

¿Evolucionó el ransomware DragonForce de DragonForce Malaysia?

DragonForce Malaysia (DFM) es un colectivo hacktivista que apunta a gobiernos y empresas percibidas como hostiles a las naciones islámicas o que apoyan a Israel. Son fuertemente antioccidentales y se han posicionado como defensores del mundo islámico. El grupo fue observado por primera vez en mayo de 2021 y, para finales de 2023, estaban coordinando ataques con otros grupos como Killnet y Anonymous Sudan. DFM sigue activo, pero los ataques se mantienen en un nivel bajo, excepto durante eventos significativos o festivos relevantes para su causa.

Se observó DFRC más tarde, cuando comenzaron a enumerar víctimas y a filtrar datos robados en su sitio dedicado de filtraciones en 2024. Los investigadores notaron que DragonForce se movió hacia un modelo de ransomware como servicio (RaaS) poco después. En marzo de 2025, DragonForce anunció que operarían como un cartel e invitaron a otros grupos a unirse a ellos.

Entonces, ¿es DFRC una evolución del grupo hacktivista? Hay algunas pruebas circunstanciales que respaldan una conexión. Ambos usan 'DragonForce' en sus nombres, lo que alimenta algunas de las especulaciones en torno a una conexión y puede causar confusión a los investigadores. Medusa ransomware es un buen ejemplo de cómo los nombres compartidos o similares pueden dificultar la investigación de actores de amenazas.

Un segundo punto de apoyo es que se dice que ambos grupos de DragonForce tienen una conexión con Malasia. El grupo hacktivista opera en la región , y algunos investigadores han pensado que el grupo de ransomware puede tener vínculos con Malasia debido a sus patrones de selección de víctimas. Un último punto de apoyo es que ambos grupos participan en ataques disruptivos y filtraciones de datos.

Esa es la evidencia pública disponible que apunta a una conexión entre los dos grupos. No parece mucho, pero muchos investigadores y fuentes de la industria apoyan esta conclusión.

Ahora veamos las pruebas en contra de la conexión. Lo primero a considerar es que DragonForce Malaysia ha negado una conexión con el grupo de ransomware y ha negado haber utilizado ransomware en sus ataques.

Traducción de IA:

DragonForce Malasia

DECLARACIÓN OFICIAL: MOTIVO Y MODUS OPERANDI...

Para su información, esta es nuestra declaración oficial para refutar las afirmaciones hechas por ciertos artículos extranjeros sobre varios ataques recientes que supuestamente son llevados a cabo por un grupo conocido como "ransomware dragonforce," que también supuestamente está vinculado o relacionado con DragonForce Malaysia.

Nos gustaría aclarar aquí que los objetivos del grupo conocido como dragonforce ransomware están claramente en desacuerdo con nuestros propios objetivos. Está muy claro que están más motivados por el lucro y operan con una naturaleza extorsiva, mientras que DragonForce Malaysia, aunque no negamos ni confirmamos la existencia de tal entidad, nunca ha estado involucrada ni ha sido responsable de ataques que sean dañinos o lleven a cabo tales acciones extorsivas.

Nuestra lucha es contra la opresión, no una lucha de extorsión.

Nunca hemos sido engañados por ningún tipo de operación de "bandera falsa", ya sea por parte de enemigos o desde dentro del propio país.

Saludos,

No ve mal, no oye mal, y no habla mal.

~Dexter's~

Los dos grupos también tienen una infraestructura distinta y tácticas, técnicas y procedimientos (TTP, por sus siglas en inglés), aunque esto es esperado cuando se consideran las motivaciones de cada grupo. Por ejemplo, no se ha vinculado a DFM con ninguna infraestructura de pago, presumiblemente porque no se involucra en extorsión. Tampoco hay escalamiento de privilegios, acceso a credenciales o exfiltración de datos como se vería en un ataque de ransomware o un ataque de espionaje de estado-nación o motivado por razones financieras. La mayoría de las víctimas de DFM sufren el mismo destino que las víctimas de otros grupos hacktivistas, que a menudo es la interrupción del negocio y el desfiguramiento de sitios web.

Otro punto a considerar es que parece no haber evidencia de vínculos de DFRC con Malasia en términos de infraestructura, ubicación del operador o alojamiento de comando y control. No hay víctimas malasias verificadas y no parece haber reglas conocidas de DFRC que prohíban ataques contra empresas en Malasia. Esto no es evidencia de que DFRC no tenga vínculos con Malasia, pero es relevante aquí debido a la evidencia del patrón de víctimas mencionado anteriormente.

También hay evidencia que vincula a DFRC con Rusia y otros países de la Commonwealth de Estados Independientes (CIS).

Evidencia de orígenes rusos o de la CEI

No hay una conclusión definitiva de que el Cartel de Ransomware DragonForce esté basado o alineado con los estados postsoviéticos, pero hay algunas evidencias:

• Las variantes de ransomware del grupo se basan en builders filtrados asociados con grupos de cibercriminales rusos.
• DFRC utiliza herramientas como SystemBC, Mimikatz y Cobalt Strike, que son comúnmente utilizadas por actores de amenazas de habla rusa.
• DragonForce ha participado activamente y ha publicitado sus servicios en el Mercado Anónimo Ruso, o RAMP. La mayoría de los usuarios de RAMP se comunican en ruso.
• Las reglas de afiliados prohíben ataques a Rusia y otros países de la antigua Unión Soviética.

Según The Register, el grupo rival de ransomware RansomHub acusó a DFRC de trabajar como agente de el Servicio Federal de Seguridad de Rusia (FSB). No parece haber evidencia sustancial que respalde o desacredite la acusación. Algunos analistas de la industria creen que DFRC y grupos similares sí trabajan para el estado, pero lo hacen de manera que obfusca el papel del gobierno.

Todas estas pruebas podrían sugerir un vínculo con los estados postsoviéticos, pero también podrían interpretarse como "mejores prácticas" para un grupo que quiere 1) reclutar a muchos afiliados criminales y 2) usar malware y técnicas que se sabe que funcionan.

Cronología de eventos

El ransomware DragonForce surgió como un grupo de ransomware a finales de 2023 utilizando cargas útiles de ransomware basadas en LockBit 3.0 y código fuente de Conti. La lotería de Ohio y Yakult Australia están entre las primeras víctimas de alto perfil.

La operación DragonForce RaaS

DragonForce anunció su operación de ransomware como servicio (RaaS) a principios de 2024 y reclutó activamente afiliados a través de foros clandestinos y otros canales de comunicación.

En este punto, DragonForce es un verdadero RaaS, por lo que los afiliados están llevando a cabo campañas de ransomware tradicionales utilizando la infraestructura de DragonForce y la marca DragonForce. DragonForce tomó el 20% de los pagos de rescate como tarifa de servicio, y los afiliados se quedaron con el resto. Para finales de 2024, la operación reclamó 93 víctimas en varios países.

El cartel de ransomware de DragonForce

El 19 de marzo de 2025, DragonForce Ransomware anunció que operaba como un cartel . Aquí vemos un cambio significativo en cómo abordan a sus rivales y oportunidades criminales.

Este cambio no es como un cambio de marca, donde el grupo se apaga y regresa con un nombre diferente. Esta es una evolución hacia un nuevo modelo de crimen que reemplaza la jerarquía centralizada de un grupo con una coalición descentralizada de actores de amenazas. Los miembros del cartel pueden lanzar ataques bajo sus propias marcas mientras utilizan los recursos de DragonForce, y pueden colaborar y compartir entre sí según lo deseen. Como cartel, DFRC también realiza relaciones con la prensa y usará la publicidad para presionar a las víctimas y buscar la dominancia en el panorama de amenazas.

“Los hackers contactaron a la BBC con pruebas de que habían infiltrado redes de TI y robado grandes cantidades de datos de clientes y empleados.” ~BBC World Service

“DragonForce le dijo a BleepingComputer que su estructura es la de un mercado, donde los afiliados pueden optar por desplegar ataques bajo la marca DragonForce o una diferente.” ~BleepingComputer

“No atacamos a pacientes con cáncer ni nada relacionado con el corazón, preferimos enviarles dinero y ayudarles. Estamos aquí por negocios y dinero, no vine aquí para matar gente, y tampoco mis socios,” ~BleepingComputer

DragonForce no es el primer cartel de ransomware, pero parece ser el primero que es tan autopromocional y abiertamente hostil hacia los competidores.

DragonForce contra todos

Después de anunciar el movimiento al cartel, DragonForce apuntó rápidamente a sus rivales con campañas de acoso e intentos de toma hostil. Dentro de las 24 horas del anuncio del cartel, DragonForce desfiguró los sitios de filtración de los grupos RaaS BlackLock y Mamona.

En este punto, centrémonos en RansomHub y todos los afiliados RaaS huérfanos que había acogido bajo su ala. Este grupo operaba con éxito como un modelo RaaS o híbrido hasta el 1 de abril de 2025, cuando su infraestructura se desconectó.

RansomBay, una antigua filial de RansomHub, se ha trasladado a DragonForce e incluso ha incorporado elementos del logotipo de DragonForce en sus operaciones.

En este punto, comenzamos a ver a RansomHub contraatacar en los foros. El 25 de abril, el portavoz de RansomHub, 'Koley', publicó una captura de pantalla que mostraba que el sitio de filtraciones de DragonForce estaba experimentando problemas con ‘trabajos técnicos’ y sugirió que el cartel tenía 'traidores' en las filas. El ida y vuelta entre los dos continuó, con observadores publicando especulaciones sobre estafas de salida y un cambio de marca. El 28 de abril vemos la gran acusación de Koley:

"Usas a los federales para robar y cerrar a otros. Lo sabemos."

Esto es coherente con el informe de The Register sobre las acusaciones .

víctimas del cártel de ransomware DragonForce

Desde el anuncio en marzo, DFRC se ha centrado en los principales minoristas del Reino Unido. Las víctimas en este sector incluyen:

• Marks & Spencer (M&S): Este ataque interrumpió los pedidos en línea y los sistemas de pago, y comprometió los datos de los clientes. DragonForce envió correos electrónicos de extorsión al CEO y otros ejecutivos, alardeando sobre el ataque y amenazando con filtrar información sensible. Fragmentos del correo electrónico se pueden leer aquí.
• Co-op: Las operaciones de back-office y centro de llamadas se vieron afectadas, pero se dijo que el negocio y sus tiendas estaban operando con normalidad durante el ataque. Co-op sí confirmó la exposición de los datos personales de más de 10,000 miembros.
• Harrods: Esta es una víctima probable pero no verificada. DragonForce se atribuyó la responsabilidad de un ciberataque que provocó que Harrods restringiera el acceso a Internet y tomara otras medidas de mitigación. La atribución a DragonForce no ha sido confirmada.

Los miembros del cartel también han comprometido al menos 15 objetivos industriales y comprometido una aplicación de Proveedor de servicios gestionados (MSP) en un ataque a la cadena de suministro que hace posible atacar posteriormente a los clientes del MSP.

¿Cuál es el siguiente paso para este cartel?

Si la represalia rival y el descontento interno no dañan a DragonForce, es probable que el cartel continúe creciendo. Esto contribuirá a la fluidez del panorama de amenazas y a la agilidad de los actores de amenazas para cambiar de marca o simplemente desaparecer en otro grupo o en un tipo diferente de delito. Es posible que el cartel crezca tan rápido que no pueda gestionar la operación lo suficientemente bien como para prevenir filtraciones. Las fuerzas del orden han tenido cierto éxito en los últimos años, por lo que tal vez también puedan asestar un golpe a este.

Protegerse

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) Stop Ransomware puede ayudarle a prevenir ataques de ransomware. Debe revisar este sitio para obtener información sobre comunicaciones de emergencia, malas prácticas y respuesta adecuada ante ataques de ransomware. Además, asegúrese de seguir las mejores prácticas estándar, como copias de seguridad de datos regulares y gestión oportuna de parches.

Barracuda ofrece protección completa contra ransomware y la plataforma de ciberseguridad más completa del sector. Visite nuestro sitio web para ver cómo defendemos el correo electrónico, la red, las aplicaciones y los datos.