DragonForce, un cambio en el ‘modelo de negocio’ del ransomware

El mercado del ransomware sufrió en 2024 una especie de crisis de identidad. Primero se desmanteló ALPHV y más tarde LockBit, que llevaba siendo la plataforma de Ransomware as a Service más utilizada desde 2021. Estos cambios provocaron la proliferación de pequeños grupos, generando un panorama de ciberamenazas más disperso, pero no menos peligroso, en el que han acabado despuntando otros grupos como RansomHub.

Otro grupo que ha aprovechado el momento ha sido DragonForce, según un informe de Check Point Software. Aparecido por primera vez en diciembre de 2023, “algunos investigadores lo vinculan a un colectivo hacktivista malasio del mismo nombre”, pero su deriva ha sido comercial, hasta el punto de que en la actualidad actúa como lo que la compañía denomina “cártel de ransomware”.

De DragonForce llama la atención su modelo de negocio, “pensado para atraer afiliados freelance, ofreciendo un 20% de participación en los ingresos, kits de ransomware de marca blanca y acceso a infraestructura preconfigurada”, con una “alineación ideológica flexible”. Una estrategia que le ha servido para incrementar rápidamente su número de afiliados. Check Point destaca su uso contra el sector retail británico en abril y mayo de este año, “provocando caídas de plataformas de e-commerce, interrupciones en programas de fidelización y afectaciones a operaciones internas”.

Eusebio Nieva, director técnico de Check Point Software para España y Portugal, explica que “DragonForce no es solo una banda de ransomware, es una estrategia de marketing, un modelo de negocio y un ecosistema, todo en uno. Su éxito no radica en la sofisticación técnica, sino en reducir la barrera de entrada al cibercrimen, ofrecer un refugio a exafiliados, permitir que nuevos actores construyan marcas personales y capitalizar un mundo que aún lucha por adaptarse a la realidad del ransomware como servicio”.