Ransomware-as-a-Service (RaaS)

Wo genau die Ransomware-Gruppe DragonForce herkommt, ist nach wie vor unklar. Sicher ist jedoch: Sie entwickelt sich rasant weiter und setzt auf ein aggressives Geschäftsmodell, das stark von Affiliates getragen wird. Damit zählt sie zu den Gruppen, die man aktuell besonders im Blick behalten sollte. Erstmals tauchte DragonForce 2023 als Anbieter von Ransomware-as-a-Service (RaaS) auf. Schon vor der Angriffswelle, die der Gruppe 2025 größere Aufmerksamkeit verschaffte, hatte sie mehrere Veränderungen durchlaufen. Manche Berichte sehen Verbindungen zu einer älteren, in Malaysia aktiven Hacktivistengruppe, die auf RaaS umgeschwenkt sein soll. Andere Stimmen gehen dagegen davon aus, dass die heutigen Ransomware-Aktivitäten trotz Namensgleichheit auf eine völlig neue, unabhängige Gruppierung zurückgehen.

Hintergrund

DragonForce (bei Trend Micro als Water Tambanakua geführt) zeigt eine hohe Aktivität und ein offenkundiges Ziel: den eigenen Einfluss im Netzwerk der Partner und Affiliates stetig zu vergrößern . Die Vorgehensweise der Gruppe ist auffällig aggressiv und stark opportunistisch. Ein Beispiel dafür ist der Einsatz von Multi-Variant-Payloads, die auf wiederverwendeten Buildern aus den Codebasen von LockBit und Conti basieren. Damit kann die Gruppe ihre Schadsoftware schnell anpassen und erschwert Unternehmen deutlich die Verteidigung. Darüber hinaus nutzt DragonForce eine vergleichsweise fortgeschrittene Technik zur Umgehung von Sicherheitsmaßnahmen: Bring Your Own Vulnerable Driver (BYOVD). Dabei werden legitime, aber verwundbare Treiber eingesetzt, um Endpoint-Schutzmechanismen auszuhebeln – eine Methode, die unter Ransomware-Akteuren bislang eher selten zu sehen ist.

Historie

2023, zu Beginn seiner Ransomware-Aktivitäten, zielte DragonForce mit einer Variante eines geleakten LockBit 3.0-Builders auf Unternehmen in kritischen Sektoren ab. Am 26. Juni 2024 startete die Gruppe ein Affiliate-Programm, das den Partnern 80 Prozent der Lösegeldsumme sowie Tools für das Angriffsmanagement und die Automatisierung anbot. Mit diesen Tools konnten Partner maßgeschneiderte Ransomware-Samples erstellen, darunter zur Deaktivierung von Sicherheitsfunktionen, die Einstellung von Verschlüsselungsparametern und die Personalisierung von Lösegeldforderungen. Einen Monat später veröffentlichte DragonForce eine eigene Variante der Ransomware, die angeblich auf Conti V3 basierte. Die Verwendung von geleakten LockBit- und Conti-Buildern deutet auf Verbindungen zu den Ökosystemen von Lockbit und Conti.

DragonForce ermöglicht es Affiliates, mehrere Varianten ihrer Ransomware mit Windows-, Linux-, EXSi- und NAS-spezifischen Verschlüsselungsprogrammen zu erstellen. Im November 2024 entdeckten wir eine Linux-Variante der Ransomware.

Im März 2025 gaben sie ihre Umwandlung in das DragonForce Ransomware-Kartell bekannt. Das Kartell ermutigte die Partner dazu, sich von der Marke DragonForce zu lösen und ihren eigenen Brand aufzubauen, wobei sie weiterhin die Tools und Ressourcen der Gruppe nutzen konnten. Diese Veränderung markiert eine bemerkenswerte Wende, auf die in den folgenden Monaten schnell weitere Entwicklungen folgten.

Etwa zur selben Zeit wurde DragonForce auch mit Aktivitäten anderer RaaS-Gruppen in Verbindung gebracht. Es gab Verbindungen zu Angriffen von BlackLock und in der Folge auch von Mamona . Außerdem schien es zu Konflikten mit RansomHub  zu kommen, die im gleichen Zeitraum offline gegangen waren. Sicherheitsexperten, dass diese Verbindungen auf Rivalitäten oder eine einfache Konsolidierung von Ressourcen zurückzuführen sein könnten.

Die Gruppe wurde in Verbindung mit dem Angriff auf den britischen Einzelhandel im April gebracht, zusammen mit Scattered Spider (Octo Tempest) und der losen Gruppe von Bedrohungsakteuren „Com“. Im Juni 2025 identifizierten wir eine neue DevMan-Ransomware-Variante, die die Verbindung zwischen DragonForce und Mamona (BlackLock) weiter zu unterstreichen scheint.

Im August 2025 führte die Gruppe einen „Datenanalysedienst“ ein, der Affiliates unterstützen und Opfer von Ransomware-/Datenleck-Angriffen zur Zahlung drängen soll. Der „Dienst“ fungiert als Risikoaudit sowohl der angegriffenen Organisation als auch der gestohlenen Daten und erstellt Materialien wie Skripte für Erpressungsanrufe, Entwürfe für Briefe an die Geschäftsleitung sowie pseudojuristische Analyse- und Beratungsberichte. Die Gebühren für diesen Dienst betragen bis zu 23 Prozent der Lösegeldzahlungen und richten sich speziell an Affiliates, die Organisationen mit einem Jahresumsatz von mindestens 15 Millionen US-Dollar ins Visier nehmen.

Betroffene Länder, Branchen und Unternehmensgrößen

Die USA waren am stärksten von DragonForce betroffen und lagen bei der Zahl der Opfer weit vor anderen Ländern. Weitere betroffene Länder sind Deutschland, Australien und Italien.

DragonForce streut branchenbezogen seine Angriffe insgesamt breit. Dies zeigt das eher opportunistische Verhalten der Gruppe. Dieser Ansatz ist typisch für RaaS-Operationen mit starken Affiliates-Programmen. Da die meisten ihrer Opfer mit Infrastruktur und digitalen Diensten verbunden sind, deutet dies auf eine Strategie zur Maximierung der Störungen hin. Während die Mehrheit der Opferorganisationen von DragonForce kleine Unternehmen (171) waren, hat die Gruppe auch größere Ziele (36) nicht gescheut.