El ransomware DragonForce lidera una era de cooperación criminal
- Actualidad
El grupo heredero de Conti se ha transformado en un cártel digital, tejiendo redes con Scattered Spider, LAPSUS$ y ShinyHunters. DragonForce permite a sus afiliados personalizar y distribuir variantes de ransomware como Devman y Mamona/Global, empleando técnicas como los ataques BYOVD.
La Unidad de Investigación de Amenazas (TRU) de Acronis ha publicado un informe sobre DragonForce, un grupo de ransomware como servicio (RaaS) que ha evolucionado desde el código filtrado de Conti v3. Activo desde 2023, DragonForce ha adoptado una estructura de cártel, permitiendo a sus afiliados personalizar cargas maliciosas y lanzar variantes como Devman y Mamona/Global. Esta estrategia de “marca blanca” ha sido clave para consolidar su influencia, incluso mediante la desfiguración de sitios de grupos rivales.
El estudio detalla la arquitectura del malware de DragonForce, destacando su uso de ataques BYOVD (Bring Your Own Vulnerable Driver), mediante controladores como truesight.sys y rentdrv2.sys, para desactivar herramientas de seguridad. Tras la publicación de un artículo en Habr que exponía debilidades en el cifrado de Akira, DragonForce reforzó rápidamente su propio cifrador, demostrando una capacidad de adaptación técnica notable.
Además, se identifican solapamientos entre DragonForce y LockBit Green, ambos derivados del mismo código base de Conti, lo que genera similitudes en rutinas y artefactos. Esta convergencia técnica refuerza la idea de un ecosistema cada vez más interconectado.
Alianzas estratégicas
Uno de los hallazgos más inquietantes del informe es la colaboración entre DragonForce y Scattered Spider, un actor con motivaciones económicas conocido por técnicas como el phishing, el intercambio de SIM y la evasión de MFA. Esta asociación ha derivado en vínculos con los grupos LAPSUS$ y ShinyHunters, formando lo que los investigadores denominan los “Scattered LAPSUS$ Hunters” dentro del llamado ecosistema Hacker Com.
Este nuevo modelo de cooperación entre grupos antes considerados competidores marca un cambio de paradigma en el panorama del cibercrimen, donde la colaboración reemplaza la rivalidad para maximizar el impacto.
Desde finales de 2023, el sitio de filtraciones de DragonForce ha publicado datos de más de 200 víctimas, abarcando sectores como el comercio minorista, aerolíneas, seguros, proveedores de servicios gestionados (MSPs) y otras empresas. Este volumen de ataques evidencia la eficacia del modelo de cártel y la amenaza creciente que representa esta nueva generación de ransomware colaborativo.
