Das ZCB veröffentlicht ein detailliertes Bedrohungsprofil des Akteurs DragonForce: einem sich rasant ausbreitenden Ransomware-as-a-Service-Betreiber (RaaS), der weltweit mehr als 400 Organisationen kompromittiert hat, darunter zwei belgische Unternehmen aus dem Bau- und Unternehmensdienstleistungssektor. Der Bericht liefert eine umfassende Bewertung der Herkunft, Taktiken, Ziele und empfohlenen Schutzmaßnahmen der Gruppe.
Wichtigste Erkenntnisse
- Finanziell motivierter RaaS-Betreiber: Kein Hinweis auf staatliche Unterstützung oder ideologische Zugehörigkeit. Operationelle Regeln, die Angriffe auf Russland und GUS-Staaten untersagen, deuten auf einen russischen oder GUS-Ursprung hin.
- Modell der doppelten Erpressung: DragonForce verschlüsselt Opferdaten und exfiltriert diese vorab, um den Erpressungsdruck durch die Drohung einer öffentlichen Veröffentlichung zu maximieren.
- Über 400 Opfer in mehr als 30 Ländern: Die Vereinigten Staaten sind das Hauptziel. Zwei belgische Organisationen wurden kompromittiert, was zu Betriebsunterbrechungen und dem Abfluss sensibler Daten führte.
- Meistbetroffene Sektoren: Verarbeitendes Gewerbe, Unternehmensdienstleistungen, Technologie, Bauwesen und Gesundheitswesen : ausgewählt aufgrund ihres hohen wirtschaftlichen Wertes und vergleichsweise geringerer Cybersicherheitsreife.
- Aggressive Expansion des Ökosystems: DragonForce hat konkurrierende Gruppen wie BlackLock und RansomHub absorbiert oder verdrängt und bündelt deren Affiliates in einer wachsenden Kartellstruktur.
- Aktivität im Aufwärtstrend, Höhepunkt 2026 erwartet: Die anhaltende Rekrutierung von Affiliates und ein ausgereifteres RaaS-Modell deuten auf eine weitere Intensivierung der Operationen hin.