Thought Leadership
Seit dem Schlag der internationalen Strafverfolgungsbehörden gegen die Leaksite LockBit im Februar 2024 hat sich das kriminelle Ransomware-Ökosystem stark verändert.
Die Operation „Cronos“ brachte einen der einflussreichsten Akteure zum Stillstand – doch anstatt das Phänomen einzudämmen, führte der Machtvakuum zu einer neuen Dynamik. Im Zentrum dieser Entwicklung: eine aufstrebende Gruppe namens DragonForce.
Ein neuer Spieler mit aggressiver Strategie
DragonForce trat im August 2023 auf den Plan und bot zunächst ein klassisches Ransomware-as-a-Service-Modell (RaaS) an, bei dem Partner die Schadsoftware gegen eine Gewinnbeteiligung nutzen konnten. Doch im März 2025 wandelte die Gruppe ihr Geschäftsmodell grundlegend. Sie kündigte ein sogenanntes „Kartell“ an – eine lose Allianz, bei der verbundene Gruppen die Infrastruktur von DragonForce nutzen, jedoch unter eigener Marke operieren können. Ziel war es offenbar, andere Gruppen zu vereinen oder zu absorbieren und so die Position von LockBit zu übernehmen.
Kampf um die Vorherrschaft im Cyberuntergrund
Mit dem Machtanspruch kamen auch die Konflikte. Sophos-Forscher, die DragonForce seit einiger Zeit beobachten, berichten von zunehmenden Spannungen zwischen der Gruppe und anderen Akteuren wie RansomHub, BlackLock und Mamona. Gleichzeitig führte DragonForce gezielte Aktionen gegen die Leak-Websites dieser Rivalen durch, darunter digitale Angriffe und Verunstaltungen.
Einige dieser Aktionen wurden öffentlich sichtbar: Im April 2025 schien ein Eintrag auf der Leak-Site von RansomHub für das „DragonForce-Kartell“ zu werben. Kurz darauf ging die Seite offline – mit dem Hinweis „RansomHub R.I.P. 03.03.2025“. Die Ereignisse deuten eher auf eine aggressive Übernahme als auf eine freiwillige Kooperation hin.
Offene Feindschaften und gegenseitige Beschuldigungen
Die Auseinandersetzungen blieben nicht im Verborgenen. Ein prominentes Mitglied von RansomHub, bekannt unter dem Namen „Koley“, warf DragonForce öffentlich vor, Rivalen zu unterwandern, Informationen weiterzugeben und mit Strafverfolgungsbehörden zu kooperieren. Er veröffentlichte außerdem eine digitale Verunstaltung der DragonForce-Seite – ein symbolischer Akt der Revanche.
Diese internen Streitigkeiten sind Ausdruck eines chaotischen Machtkampfs innerhalb der Cybercrime-Szene, der nicht nur deren Strukturen destabilisiert, sondern auch zu unberechenbareren Angriffsmustern führen kann.
Zielgerichtete Angriffe trotz interner Turbulenzen
Trotz der internen Konflikte bleibt DragonForce aktiv und gefährlich. Die Gruppe zielt nicht nur auf klassische IT-Infrastrukturen, sondern auch auf virtualisierte Systeme wie VMware ESXi. Im Fokus stehen dabei insbesondere der Diebstahl von Zugangsdaten, das Ausnutzen von Schwachstellen in Active Directory-Umgebungen sowie die massive Exfiltration sensibler Daten.
Unternehmen geraten so ins Visier – häufig mit erheblichen Konsequenzen, insbesondere in Sektoren wie Einzelhandel, in denen DragonForce zuletzt mehrfach zugeschlagen hat.
Neue Anforderungen an die IT-Sicherheit
Während sich kriminelle Gruppen neu formieren und um Einfluss kämpfen, bleibt die Bedrohungslage für Unternehmen hoch. Sicherheitsexperten warnen davor, dass der Konkurrenzdruck zu immer rücksichtsloseren und opportunistischeren Angriffen führen könnte.
Unternehmen sind daher gut beraten, ihre Strategien zur Vorfallreaktion, Bedrohungserkennung und dem Umgang mit Drittanbieter-Risiken grundlegend zu überdenken. In einem Umfeld, in dem selbst die kriminellen Akteure keine klare Ordnung mehr kennen, ist ein robuster und anpassungsfähiger Sicherheitsansatz entscheidend.
