Het CCB publiceert een gedetailleerd dreigingsprofiel van DragonForce, een snel groeiende operator van ransomware-as-a-service (RaaS) die wereldwijd meer dan 400 organisaties heeft gecompromitteerd, waaronder twee Belgische entiteiten in de bouw- en zakelijke dienstverlening. Dit rapport biedt een diepgaande analyse van de oorsprong, tactieken, doelwitten en aanbevolen beveiligingsmaatregelen tegen de groep.
Belangrijkste bevindingen
- Financieel gemotiveerde RaaS-operator: geen bewijs van staatssteun of ideologische affiliatie. Operationele regels die aanvallen op Rusland en GOS-landen verbieden, wijzen op een Russische of GOS-oorsprong.
- Model van dubbele afpersing: DragonForce versleutelt gegevens van slachtoffers én exfiltreert deze vooraf, waardoor de dreiging van openbare publicatie de afpersingsdruck maximaal vergroot.
- Meer dan 400 slachtoffers in meer dan 30 landen: de Verenigde Staten zijn het voornaamste doelwit. Twee Belgische organisaties werden gecompromitteerd met operationele uitval en datalekken tot gevolg.
- Meest getroffen sectoren: productie, zakelijke dienstverlening, technologie, bouw en gezondheidszorg; gekozen omwille van hun hoge economische waarde en relatief zwakkere cyberbeveiliging.
- Agressieve expansie van het ecosysteem: DragonForce heeft rivaliserende groepen zoals BlackLock en RansomHub geabsorbeerd of verdrongen en bundelt hun affiliates in een groeiende kartelstructuur.
- Activiteit op stijgende lijn, piek verwacht in 2026: aanhoudende werving van affiliates en een volwassener wordend RaaS-model wijzen op een verdere intensivering van de operaties.