Eine Analyse des Security-Spezialisten Check Point Software wirft einen Blick auf die Ransomware-Gruppe DragonForce. DragonForce wurde erstmals im Dezember 2023 gesichtet, als die Bande ihre Website DragonLeaks im Darknet startete. Seitdem berichtet sie dort über erfolgreiche Attacken. Einige Sicherheitsforscher führen die Gruppe auf DragonForce Malaysia zurück, eine Hacktivisten-Gruppierung. Die neue Truppe ist jedoch weit entfernt von rein ideologisch getriebenen Angriffen.
“DragonForce ist nicht nur eine Ransomware-Bande – es ist eine Marketingstrategie, ein Geschäftsmodell und ein Ökosystem in einem. Das macht sie gefährlicher als die meisten anderen. Ihr Erfolg liegt nicht in ihrer technischen Raffinesse, sondern darin, dass sie die Hürden für Cyber-Kriminalität senken und indem sie ehemaligen Mitgliedern einer anderen Bande eine neue Tätigkeit bietet. Außerdem ermöglicht DragonForce neuen Akteuren, sich eine eigene Marke aufzubauen. Die Zukunft der Ransomware ist schlicht und einfach dezentralisiert, automatisiert und leicht zugänglich. DragonForce hat dies als erstes erkannt”, erklärt Sergey Shykevich, Threat Intelligence Group Manager bei Check Point Software.
Seit Jahresbeginn lässt sich DragonForce mit Fug und Recht als Ransomware-Kartell beschreiben. Das Geschäftsmodell ist darauf ausgelegt, Hacker anzuziehen, die als ‘Freiberufler’ arbeiten, oder gerade ‘arbeitslos‘ sind. Es winken:
20 Prozent Gewinnbeteiligung
was weniger als bei den meisten anderen Ransomware-as-a-Service-Modellen (RaaS) ist.
Blanko-Ransomware-Bausätze
die Mieter frei ‘etikettieren‘ können. Außerdem ist es möglich, eigene binaries zu kompilieren, Datei-Endungen anzupassen und die Lösegeld-Forderung frei zu gestalten.
Fertige Infrastruktur
die den Mietern zur Verfügung steht, mit Zugriff auf Tools zur Verhandlung, auf einen verschlüsselten Speicherplatz, auf Vorlagen für Veröffentlichungsseiten im Internet, die als ‘RansomBay‘ benannt werden.
Nach dem Verschwinden von RansomHub im April 2025 hat DragonForce rasch die mit ihm verbundenen ‘Unternehmen‘ übernommen und sich als agile Alternative zu den zusammengebrochenen, etablierten Betreibern positioniert. Während also das Vertrauen in namhafte RaaS-Marken schwindet, bietet DragonForce Anonymität, Flexibilität und Gewinn.
Datenerpressung ohne Verschlüsselung
Ransomware nimmt nicht nur quantitativ zu, sondern entwickelt sich auch methodisch weiter. Viele Gruppen konzentrieren sich zunehmend auf Datenerpressung ohne Verschlüsselung, wodurch die Komplexität der Abläufe reduziert und die Monetarisierung beschleunigt wird.
Die Kampagne gegen die britischen Einzelhändler führten zu mehrtägigen Ausfällen von E-Commerce-Plattformen, Treueprogrammen und internen Abläufen. Die Kampagne könnte eine umfassendere strategische Neuausrichtung widerspiegeln: weg von Einnahmen ausschließlich aus Lösegeldforderungen hin zur Erfassung großer Mengen personenbezogener Daten für die sekundäre Monetarisierung.
Daten von Check Point bestätigen diesen Trend: Der Sektor „Konsumgüter und Dienstleistungen“ (einschließlich Einzelhandel) ist derzeit die am fünftstärksten angegriffene Branche im Vereinigten Königreich und verzeichnet:
1337 Cyber-Angriffe pro Woche und Unternehmen.
8 Prozent höhere Angriffsrate als im nationalen Durchschnitt.
Ein Anstieg von 22 Prozent gegenüber dem Vorjahr in der Branche.
Dies entspricht den allgemeinen Präferenzen von Ransomware-Angreifern – insbesondere von Gruppen wie Cl0p, die ebenfalls einen überproportionalen Fokus auf diese Branche legen.
Fragmentiertes Ransomware-Ökosystem
DragonForce ist nicht die einzige Hacker-Gruppe, die sich anpasst. Nachdem LockBit und ALPHV im Jahr 2024 von Strafverfolgungsbehörden zerschlagen wurden, ist das Ransomware-Ökosystem fragmentiert:
RansomHub füllte kurzzeitig die Lücke, bevor es im April 2025 verschwand. Dutzende von mittelgroßen Akteuren konkurrieren nun um Partner, darunter Gruppen wie Akira, Medusa und Play. Die Loyalität der Partner ist gering – und die Geschäftsmodelle werden aggressiver, viele bieten eine 80/20-Aufteilung, ohne Vorabkosten.DragonForce zeichnet sich durch die Kombination der Einfachheit einer Plattform mit dem Einfluss einer Bewegung aus. Es bietet nicht nur Tools, sondern auch Identität und Ausrichtung – so vage oder flexibel diese auch sein mögen.
Zunehmender Einsatz von KI
Die Berichte weisen auch auf einen beunruhigenden Trend hin: den zunehmenden Einsatz von KI bei der Entwicklung von Malware und der Skalierung von Kampagnen.
Verschiedene Gruppen wie FunkSec haben LLM-gestützte Malware-Builder eingesetzt und damit die technischen Einstiegshürden gesenkt. Deepfake-Tools zur Audio- und Video-Identitätsfälschung werden eingesetzt, um Social Engineering und die Manipulation von Opfern zu verbessern. Kriminelle nutzen GenAI mittlerweile, um mehrsprachige Phishing-Kampagnen, BEC-Angriffe und sogar OTP-Diebstahl durch automatisierte Anruf-Bots zu verwalten.Dieser Trend beschleunigt die Professionalisierung von Ransomware-Operationen. Außerdem erschwert er die Arbeit der Verteidiger exponentiell.
Hacker versenden Geschäftsdateien und Rechnungen von kompromittierten Konten und fügen gefälschte Dynamics 365 Customer Voice Links bei. Die E-Mail-Konfiguration sieht legitim aus und verleitet die E-Mail-Empfänger dazu, den Köder zu schlucken.
Kommentare