Ransomware DragonForce golpea a proveedor de servicios gestionados
Empresas especializadas en ciberseguridad no han podido confirmar si ha sido el grupo DragonForce directamente o uno de sus afiliados quienes ejecutaron el ataque al MSP. En cualquier caso, esta campaña ha demostrado cómo este actor de amenazas está ganando terreno rápidamente en el ecosistema clandestino.
Esto se debe en parte a las prácticas centradas en el cliente, en donde el grupo emplea un modelo único que permite a los afiliados usar su propio branding sobre la infraestructura y herramientas de DragonForce, si así lo desean, además de desplegar directamente el ransomware del grupo. En el mes de marzo, el sitio de filtraciones del exitoso grupo cibercriminal RaaS RansomHub se desconectó y algunos de sus miembros, aparentemente, se trasladaron a DragonForce de alguna forma.
Además de señales extrañas de tomas hostiles de control, el grupo DragonForce ha alterado, aparentemente, los sitios de filtraciones de las bandas de ransomware llamadas BlackLock y Mamona alrededor del mismo tiempo en el que anunciaron que se convertirían en un “cartel”, en el mes de marzo, según investigaciones de firmas de ciberseguridad hechas hace unas semanas.
Diversos directores de inteligencias de amenazas han declarado que, desde un punto de vista promocional, DragonForce es uno de los grupos de cibercriminales más agresivos que se han visto desde la aparición, auge y caída de LockBit.
Igualmente, DragonForce es una de las marcas más prominentes en la actualidad, publicitándose de forma agresiva en foros clandestinos, según los expertos. Ofrecen también un reparto de ganancias favorables, una división de 80/20 a favor del afiliado, lo cual puede motivar a más grupos a colaborar con ellos. Si bien no es el grupo más activo en cuanto a incidentes de software, se podría ver cambios en los próximos meses.
TIC Defense es una empresa que provee servicios y soluciones de alta tecnología para proteger a las organizaciones de los hackers maliciosos. Además, optimizamos las defensas informáticas de tu compañía para que la información digital se encuentre a buen resguardo.
Directores seniors de análisis de amenazas han descrito a DragonForce como un centro atractivo para actores maliciosos no afiliados o desplazados, especialmente después de la desaparición de RansomHub en el mes de abril. Afirman que más de 70 ataques reportados públicamente han sido vinculados al grupo hasta la fecha.
Este grupo no parece discriminar geografía o industria, representando cada vez más la nueva era del modelo ransomware como servicio; una definida por flexibilidad, anonimato, automatización y tácticas agresivas de doble extorsión. A medida que la confianza en los operadores RaaS tradicionales está disminuyendo, DragonForce se posiciones como una nueva alternativa y muy lucrativa.
Según otros especialistas, este grupo de cibercriminales es simplemente otro actor en el ciclo continuo de grupos que se disuelven, renombran y son reemplazados, uniéndose a la larga lista de colectivos que hacen declaraciones audaces para atraer atención. Además, parece menos un cartel clásico con una operación centralizada y más una red fluida y cambiante.
En estos tiempos se ven más nombres nuevos de grupos que están surgiendo, más declaraciones de poder y más asociaciones entre actores maliciosos. Todo apunta a un mercado competitivo donde los grupos luchan por atención, afiliados y reputación.
La agresiva estrategia de marca de DragonForce encaja perfectamente con esta última dinámica. Se trata más de destacar y reclutar que de mejorar la ejecución de sus ataques. Si algo demuestra su auge, es que el ransomware se ha vuelto más descentralizado y accesible que nunca.
