DragonForce evolve in un cartello ransomware e diventa più aggressivo

Di recente la Threat Research Unit di Acronis ha analizzato nuove attività di DragonForce, una gang di ransomware-as-a-service (RaaS) che starebbe utilizzando variante migliorata e più aggressiva del proprio malware.

Comparso per la prima volta nel 2023, il gruppo ha fin da subito cominciato a reclutare partner su forum del darkweb per espandere le proprie attività malevole. Dall’inizio del 2025, DragonForce ha optato per un “rebranding” presentandosi come un “cartello” ransomware, rafforzando la sua posizione nella scena cybercriminale.

Questo cambiamento lo ha reso un fornitore di infrastrutture per gli altri cybercriminali, con il risultato che anche i gruppi che mancano di conoscenze tecniche specifiche possono usare facilmente il ransomware. I ricercatori di Acronis evidenziano che il modello scelto da DragonForce è particolarmente allettante per gli affiliati per due motivi: in primo luogo, il gruppo trattiene come fornitura del servizio soltanto il 20% dei guadagni, lasciando il restante all’affiliato; in secondo luogo, segue unapproccio “white label”che consente agli affiliati di usare il proprio brand e sviluppare le proprie varianti di ransomware.

La gang ha creato il proprio ransomware basandosi prima su un builder LockBit 3.0 per i software di crittografia, poi adottando un codice Conti V3 personalizzato.

La variante attuale è nata come miglioramento della crittografia usata da Akira, un gruppo ransomware rivale di DragonForce. La gang, che le debolezze del ransomware sono state rese note pubblicamente, ha corretto i difetti di crittografia che rendevano possibile individuare la chiave privata.

La nuova versione del malware è pensata per colpire un ampio spettro di sistemi, inclusi Windows, Linux e le infrastrutture di virtualizzazione ESXi. Il nuovo ransomware utilizza inoltre tecniche avanzate per l’individuazione e la disabilitazione di antivirus prima dell’esecuzione processi di crittografia.

DragonForce e Scattered Spider

Tra i partner più famosi e attivi della gang c’è Scattered Spider, broker di accesso iniziale già noto per essersi affiliato ad altri operatori RaaS come BlackCat, RansomHub e Qilin. Insieme a DragonForce, al gruppo sono stati attribuiti gli attacchi a Marks & Spencer dello scorso maggio.

Dall’analisi di Acronis emerge una stretta collaborazione tra i due gruppi: “L’intrusione tipicamente comincia con Scattered Spider che identifica le sue vittime eseguendo una ricognizione sui dipendenti dell’organizzazione per inventarsi un personaggio e un pretesto. Raccoglie informazioni sulle vittime come nome, ruolo e altre informazioni generali attraverso i social media e metodi di intelligence open source” spiegano i ricercatori.

Scattered Spider usa tattiche basate sull’ingegneria sociale, come phishing telefonico (vishing), clonazione delle SIM e tecniche per aggirare l’autenticazione a due fattori. La partnership, di fatto, funziona come una catena di montaggio criminale: Scattered Spider si occupa di individuare i bersagli per rubarne le credenziali, penetrare nelle reti aziendali e in seguito esfiltrare dati sensibili; in seguito, distribuiscono il ransomware fornito da DragonForce per richiedere il riscatto.

L’alleanza di DragonForce non si limita solo a ScatteredSpider: il gruppo RaaS si è evoluto in un ecosistema molto ampio che coinvolge, tra gli altri, anche nomi noti quali LAPSUS$ e ShinyHunters.

Un’altra collaborazione interessante è quella con Devman: i ricercatori di Acronis hanno individuato campioni di ransomware di questo gruppo creati usando il builder di DragonForce. Ci sono anche numerose somiglianze nella struttura delle note di riscatto.

Pixabay

Dalla fine del 2023, DragonForce ha pubblicato i dati di oltre 200 vittime, colpendo settori che vanno dalle compagnie aeree, alle assicurazioni e agli MSP. L’evoluzione verso un modello a “cartello” ha permesso al gruppo di stringere partnership specializzate che, unite a un rapido miglioramento delle tecniche e tattiche, hanno reso DragonForce una delle minacce più significative per le organizzazioni.