DragonForce
Überblick
DragonForce ist eine bedeutende Ransomware-as-a-Service-Operation, die ein formales Partnerprogramm betreibt und ihren Affiliates einen Großteil der erpressten Einnahmen als Beteiligung anbietet. Im weiteren Verlauf positionierte sich die Gruppe neu und tritt seither als sogenanntes „Ransomware-Kartell“ auf. Bekanntheit erlangte sie vor allem durch aufsehenerregende Angriffe auf den britischen Einzelhandel. Charakteristisch für DragonForce ist das Dienstleistungsmodell, bei dem die eigentliche Schadsoftware samt Infrastruktur an angeschlossene Akteure bereitgestellt wird, die die Angriffe ausführen, während die Kerngruppe an den Erlösen mitverdient. Das Vorgehen ist damit arbeitsteilig organisiert und auf eine breite Streuung der Angriffe ausgelegt. Im Fokus stehen Unternehmen, deren Geschäftsbetrieb durch eine Verschlüsselung empfindlich gestört werden kann, weshalb insbesondere der Handelssektor betroffen war. Die professionelle Struktur des Partnerprogramms unterscheidet DragonForce von weniger organisierten Erpressergruppen.
Taktiken & Vorgehen
Für die Ausbreitung im Netzwerk und die Erkundung der Zielumgebung setzt DragonForce eine Reihe einschlägiger Werkzeuge ein. Mit „Mimikatz“ werden Zugangsdaten aus kompromittierten Systemen abgegriffen, während Netzwerk- und Scan-Werkzeuge wie „Advanced IP Scanner“ und „SoftPerfect NetScan“ der Erkundung erreichbarer Hosts dienen. Mit „PingCastle“ wird gezielt die Active-Directory-Umgebung auf Schwachstellen untersucht. Die Ausführung der Schadsoftware erfolgt über das Ausführen einer schädlichen Datei auf dem Opfersystem (User Execution). Zur Tarnung deaktiviert die Ransomware den Windows Defender, sofern dieser aktiv ist, und löscht sich nach der Ausführung selbst, um Spuren zu beseitigen. Vor der eigentlichen Verschlüsselung durchsucht sie Verzeichnisse systematisch nach Dateien (File and Directory Discovery), bevor diese zur Erpressung verschlüsselt werden (Data Encrypted for Impact).
Schutzmaßnahmen
Da mit „Mimikatz“ Zugangsdaten abgegriffen werden, sollten privilegierte Konten besonders geschützt und der Diebstahl von Anmeldedaten durch Härtung der Anmeldeinformationsverwaltung erschwert werden. Gegen die Erkundung mit „Advanced IP Scanner“, „SoftPerfect NetScan“ und „PingCastle“ sollte das interne Netzwerk segmentiert und auf ungewöhnliche Scan- sowie Active-Directory-Abfragen überwacht werden; die Active-Directory-Konfiguration sollte regelmäßig auf Schwachstellen geprüft werden. Der Manipulation von Schutzsoftware (Disable or Modify Tools) sollte durch Manipulationsschutz für den Windows Defender und Alarmierung bei dessen Deaktivierung begegnet werden. Gegen die Ausführung schädlicher Dateien (User Execution) sollten Anwendungssteuerung und Ausführungseinschränkungen etabliert werden.
Chronologie
- 13.12.2023 Erste bekannte Aktivität
- 14.06.2026 Zuletzt aktiv
Erwähnt in
- TeamPCP und Shai-Hulud: Wie eine junge Cybercrime-Gruppe das Open-Source-Ökosystem erschüttert 26.05.2026
- CISA nimmt vier aktiv ausgenutzte Schwachstellen in den KEV-Katalog auf 25.04.2026
- Neue Ransomware-Bande „The Gentlemen" wächst rasant zur ernsten Bedrohung 22.04.2026
- FBI: Cyberkriminalität verursachte 2025 fast 21 Milliarden Dollar Schaden 08.04.2026
- LeakNet-Ransomware setzt auf ClickFix und Deno-Loader im Arbeitsspeicher 17.03.2026
- Lateinamerika ist weltweit am stärksten von Cyberangriffen betroffen 05.03.2026
- Cybersicherheit in Lateinamerika: Reife hinkt der Bedrohungslage hinterher 28.02.2026
- RAMP-Beschlagnahme zersplittert das Ransomware-Ökosystem 28.02.2026