Zsarolóvírus-háború a digitális alvilágban – A DragonForce mindent visz?

A 2024 februárjában végrehajtott nemzetközi rendőrségi akció, a Cronos, térdre kényszerítette a rettegett LockBit zsarolóvírus-hálózatot. Azóta a kiberbűnözők világa forrong – mintha egy digitális vadnyugat lenne, ahol mindenki a hatalomért és a profitért harcol.
A Sophos biztonsági szakértői szerint a DragonForce az, aki most a leggyorsabban kapaszkodik felfelé a ranglétrán.
„Ez a csoport nem csak újabb játékos a pályán – ők teljesen át akarják írni a szabályokat” – mondta Aiden Sinnott, a Sophos Counter Threat Unit vezetője. Szerinte a DragonForce egyszerre támad vállalatokat, versenytársakat és akár szövetségesnek hitt csoportokat is, miközben üzleti modelljét folyamatosan alakítja a gyors terjeszkedés érdekében.
Üzlet, mint a maffiában – csak digitálisan
Amikor a DragonForce 2023 augusztusában megjelent, hagyományos „Ransomware-as-a-Service” modellt követett, vagyis más bűnözőknek is lehetőséget adott arra, hogy szolgáltatásként használják zsarolóvírusát. 2025 tavaszán azonban szintet lépett: bejelentették, hogy "kartellként" működnek tovább – legalábbis a felszínen. A valóság inkább az, hogy partnereik DragonForce-eszközökkel, de saját márkanév alatt dolgozhatnak, mintha csak franchise-t vásároltak volna.
Ezzel párhuzamosan viszont a csoport brutálisan leszámolt több riválisával is. A BlackLock és Mamona zsarolóvírus-csoportok szivárogtató oldala hirtelen elérhetetlenné vált, a háttérben valószínűleg a DragonForce akciózott.
Szövetség vagy árulás?
A RansomHub-bal, a LockBit bukása után felkapott csoporttal előbb együttműködésre utaló jelek mutatkoztak – majd egy gyors fordulattal a RansomHub oldala is megszűnt. „RansomHub R.I.P. 2025.03.03.” – állt az oldalon. Az események alapján sokkal inkább egy digitális „ellenséges felvásárlásnak” tűnik az eset, mint partnerségnek.
A történet csavarra csavar: egy „Koley” nevű ismert RansomHub-tag nyilvánosan azzal vádolta meg a DragonForce-ot, hogy együttműködik a hatóságokkal (!) és árulók vannak a soraiban.
És miközben a bűnözők egymást lövik...
A háttérben a vállalatok továbbra is célkeresztben maradnak. A DragonForce támadásai nemcsak hagyományos informatikai rendszereket érintenek, hanem a virtualizált környezeteket is, mint például a VMware ESXi. A cél: belépési adatok, Active Directory-kihasználás és persze adatlopás.
„Miközben ezek a csoportok egymás ellen is háborúznak, a cégek szempontjából ez nem jó hír – sőt, a helyzet még kiszámíthatatlanabbá válik” – figyelmeztet Sinnott. „A vállalatoknak újra kell gondolniuk, hogyan kezelik a fenyegetéseket és az incidenseket, mert a digitális alvilágban már nem csak a pénzről, hanem a dominanciáról is szól a játék.”