Sophos Counter Threat Unit
DragonForce mischt die Ransomware-Szene auf und legt sich mit der Konkurrenz an
DragonForce liefert sich einen Revierkampf mit anderen Ransomware-Betreibern
Die Cybercrime-Gruppe DragonForce sorgt derzeit nicht nur mit neuen Angriffswellen für Schlagzeilen – sie kämpft auch hinter den Kulissen um die Vorherrschaft im Ransomware-Markt.
Seitdem die internationale Strafverfolgungsoperation „Cronos“ im Februar 2024 die Leak-Seite der berüchtigten LockBit-Gruppe lahmlegte, ist viel Bewegung in die Ransomware-Szene gekommen. Neue Gruppen tauchen auf, alte Strukturen lösen sich auf – und der Wettbewerb unter den Cyberkriminellen wird rauer. Besonders aktiv zeigt sich dabei die Gruppe DragonForce, wie die Sicherheitsforscher der Sophos Counter Threat Unit berichten .
Eine neue Macht im Cybercrime-Universum
„DragonForce ist nicht einfach nur eine weitere Ransomware-Gruppe – sie verändert aktiv die Spielregeln“, erklärt Aiden Sinnott, Senior Threat Researcher bei Sophos. Während die Gruppe mit Angriffen auf britische Einzelhändler bereits in der Öffentlichkeit auffiel, spielt sich im Hintergrund ein Machtkampf mit anderen Akteuren der Cybercrime-Szene ab – darunter auch die Gruppe RansomHub.
Nach dem Zusammenbruch von LockBit versuchen verschiedene Gruppen, sich neue Marktanteile zu sichern – mit immer neuen Taktiken, Tools und Allianzen. DragonForce geht dabei besonders aggressiv vor und zeigt, dass es nicht nur um Geld, sondern auch um Macht und Kontrolle im Ransomware-Ökosystem geht.
Technisch versiert – und strategisch skrupellos
Die Sicherheitsforscher von Sophos beobachten die Aktivitäten der Gruppe schon seit geraumer Zeit. DragonForce greift gezielt klassische IT-Infrastrukturen ebenso wie virtualisierte Umgebungen (z. B. VMware ESXi) an. Die Angreifer setzen auf den Diebstahl von Zugangsdaten, missbrauchen Active Directory und schleusen sensible Daten aus den Systemen.
Im März 2025 wandelte DragonForce sein Geschäftsmodell: Aus dem klassischen Ransomware-as-a-Service (RaaS)-Ansatz wurde ein „Kartell“, das Partnern mehr Flexibilität einräumt – sie können DragonForce-Tools nutzen, aber unter eigenem Namen auftreten. Dieser Schritt markierte nicht nur eine strategische Neuausrichtung, sondern ging auch mit Angriffen auf konkurrierende Gruppen einher, deren Leak-Seiten teilweise manipuliert oder lahmgelegt wurden – mutmaßlich durch DragonForce selbst.
Schein-Allianzen und digitale Fehden
Kurzzeitig sah es so aus, als würde sich DragonForce mit der Gruppe RansomHub verbünden – Beiträge auf Untergrundplattformen ließen zumindest darauf schließen. Doch schon bald darauf wurde die Leak-Seite von RansomHub abgeschaltet, begleitet von der Botschaft „RansomHub R.I.P. 03.03.2025“. Insider vermuten, dass es sich weniger um eine Kooperation als um eine feindliche Übernahme gehandelt haben könnte. Ein prominentes Mitglied von RansomHub reagierte mit einem digitalen Gegenschlag und warf DragonForce öffentlich Verrat und Zusammenarbeit mit Strafverfolgern vor.
Chaos in der Szene – Gefahr für Unternehmen bleibt bestehen
Trotz dieser internen Machtkämpfe bleibt eines unverändert: Die Angriffe auf Unternehmen gehen unvermindert weiter. „Der Konkurrenzkampf innerhalb der Ransomware-Szene kann zu noch unberechenbareren Angriffen führen“, warnt Sinnott. „Wenn Gruppen um Einfluss und Gewinne ringen, steigt das Risiko für Unternehmen. Gerade in diesem dynamischen Umfeld sollten Unternehmen ihre Sicherheitsstrategien überdenken – insbesondere im Hinblick auf Incident Response, Bedrohungsaufklärung und das Management von Drittanbietern.“
