Cyber-Bedrohungen

DragonForce: Symbol einer neuen Generation hybrider Cyber-Bedrohungen

, Check Point | Autor: Herbert Wieler

DragonForce: Symbol einer neuen Generation hybrider Cyber-Bedrohungen

Cyber-Attacken auf britische Handelsketten

Check Point Software Technologies Ltd. (NASDAQ: CHKP), ein weltweit führender Anbieter von Cybersecurity-Lösungen, analysiert die Bedrohungslage rund um die Ransomware-Gruppe DragonForce , die aktuell mit Angriffen auf britische Unternehmen in den Schlagzeilen steht.

Die Gruppe trat erstmals im Dezember 2023 in Erscheinung, als sie ihre Leak-Plattform DragonLeaks im Darknet veröffentlichte und dort seither regelmäßig erfolgreiche Attacken dokumentiert. Sicherheitsforscher vermuten, dass DragonForce aus dem Umfeld der Hacktivisten-Gruppe DragonForce Malaysia hervorgegangen ist – doch das aktuelle Kollektiv verfolgt deutlich pragmatischere und opportunistischere Ziele als rein ideologisch motivierte Gruppierungen.

Ein Ransomware-Kartell mit Geschäftsmodell

Spätestens seit Anfang 2025 agiert DragonForce klar als Ransomware-Kartell – mit einem Geschäftsmodell, das gezielt unabhängige Hacker anspricht. Die Gruppe bietet:

  • 20 % Gewinnbeteiligung, was unter dem branchenüblichen Schnitt liegt
  • Ransomware-Baukästen zur freien Individualisierung, inkl. der Möglichkeit, eigene Binaries zu kompilieren und Forderungstexte anzupassen
  • Zugriff auf eine komplette Infrastruktur, darunter Tools für Verhandlungen, verschlüsselte Speicherlösungen sowie Vorlagen für Leak-Seiten unter dem Namen RansomBay

Nach dem plötzlichen Verschwinden von RansomHub im April 2025 übernahm DragonForce dessen Partnernetzwerk und etablierte sich als flexible Alternative zu den ehemals führenden Ransomware-as-a-Service-Anbietern. Während Vertrauen in bekannte Marken schwindet, punktet DragonForce mit Anonymität, Effizienz und niedrigen Einstiegshürden.

Explosion der Ransomware-Aktivitäten weltweit

Die aktuelle Bedrohungslage wird durch den neuen Bericht State of Ransomware Q1 2025 von Check Point unterstrichen:

  • 2.289 öffentlich gemeldete Ransomware-Opfer im ersten Quartal – ein Anstieg von 126 % im Jahresvergleich
  • 74 aktive Gruppen weltweit – ein Indiz für zunehmende Fragmentierung und Wettbewerb unter Cyberkriminellen
  • Über 650 bestätigte Opfer pro Monat (bereinigt) – deutlich mehr als die ca. 450 monatlich im Vorjahr Zudem geht der Trend zunehmend in Richtung Erpressung ohne Datenverschlüsselung, was Abläufe vereinfacht und Profite beschleunigt.

Gezielte Angriffe auf britische Einzelhändler

Im April und Mai 2025 richtete DragonForce eine koordinierte Angriffswelle gegen prominente Einzelhändler in Großbritannien. Diese führte zu längeren Ausfällen von Online-Shops, Bonusprogrammen und internen Prozessen. Die Vorfälle deuten auf eine strategische Neuausrichtung hin: von reinen Lösegeldforderungen hin zur gezielten Sammlung personenbezogener Daten zur weiteren Monetarisierung.

Check Point-Daten bestätigen den Fokus auf den Einzelhandel:

  • Durchschnittlich 1.337 Angriffe pro Woche und Unternehmen
  • 8 % höhere Angriffsrate als im britischen Durchschnitt
  • 22 % Zunahme im Vergleich zum Vorjahr

Ein fragmentiertes Ökosystem im Wandel

Nach der Zerschlagung von LockBit und ALPHV durch Strafverfolgungsbehörden im Jahr 2024 ist das Ransomware-Ökosystem zersplittert:

  • RansomHub verschwand im April 2025 nach kurzer Marktpräsenz
  • Neue Gruppen wie Akira, Medusa oder Play konkurrieren aggressiv – teils mit 80/20-Gewinnbeteiligung und ohne Einstiegskosten
  • Die Loyalität zwischen Gruppen und Partnern ist gering DragonForce hebt sich in diesem Umfeld ab – durch die Kombination aus Plattform, Identität und Flexibilität. Die Gruppe versteht sich als Bewegung ebenso wie als Serviceanbieter.

Künstliche Intelligenz als Beschleuniger der Professionalisierung

Ein weiterer beunruhigender Trend: der zunehmende Einsatz von KI-Technologie in der Cyberkriminalität:

  • Gruppen wie FunkSec nutzen LLM-basierte Malware-Builder
  • Deepfakes kommen bei Audio- und Video-Manipulationen zum Einsatz
  • GenAI-gestützte Phishing- und BEC-Kampagnen werden automatisiert über Sprachbots betrieben Diese Entwicklungen senken die technischen Einstiegshürden weiter und erschweren die Abwehrmaßnahmen erheblich.

DragonForce als Blaupause für die Zukunft von Ransomware

Sergey Shykevich, Threat Intelligence Group Manager bei Check Point, erklärt: „DragonForce ist mehr als nur eine Ransomware-Bande. Es ist ein Geschäftsmodell, eine Marketingstrategie und ein Ökosystem in einem. Ihre eigentliche Stärke liegt nicht in technischer Raffinesse, sondern darin, Cyberkriminalität einfacher zugänglich zu machen – für ehemalige Mitglieder anderer Gruppen ebenso wie für Neueinsteiger.“

Die dezentrale, automatisierte und niedrigschwellige Struktur, die DragonForce etabliert hat, könnte zur Blaupause für die nächste Generation von Cyberbedrohungen werden.

Social Engineering über kompromittierte Mail-Konten

Parallel dazu laufen Kampagnen, bei denen Angreifer kompromittierte Geschäftskonten nutzen, um vermeintlich legitime Dateien und Rechnungen zu versenden. Über gefälschte Dynamics 365 Customer Voice-Links sollen Empfänger getäuscht werden.

  • Über 3.370 E-Mails wurden verschickt
  • Über 1 Million Postfächer ins Visier genommen
  • Betroffen sind u. a. NGOs, Hochschulen und Medienhäuser