Cartel DragonForce Ransomware contre tout le monde

L'histoire du cartel DragonForce Ransomware (DFRC, DragonForce) commence quelque part, mais les chercheurs ne parviennent pas à s'accorder sur le fait qu'il s'agissait à l'origine d'un groupe de hackers, d'un nouveau groupe distinct ou d'un peu de chacun. En réalité, plus vous creusez dans le DFRC, plus il devient obscur. Il est difficile de trouver tous les détails de l'histoire familiale dans cette histoire, et c'est exactement comme cela qu'ils le préfèrent.

Qu'y a-t-il dans un nom ?

DragonForce est un nom intéressant pour un acteur malveillant. Les dragons sont présents dans la littérature fantastique, les jeux de rôle, les jeux en ligne et les sports électroniques, les sous-cultures telles que le cyberpunk et les mangas, ainsi que dans les arts martiaux et la mythologie orientale. Le dragon projette une image de danger et de puissance, et il occupe une place prépondérante dans les sous-cultures de hackers. L'adoption du nom DragonForce a permis au groupe de ransomware de tirer parti d'un symbole qui impose le respect.

Il peut également être utile de partager le nom de la marque avec un autre groupe, car cela peut rendre les enquêtes post-attaque plus difficiles. C'est certainement le cas pour DragonForce Ransomware, comme vous le verrez dans la section suivante.

Le ransomware DragonForce a-t-il évolué à partir de DragonForce Malaysia ?

DragonForce Malaysia (DFM) est un collectif hacktiviste qui cible les gouvernements et les entreprises perçus comme hostiles aux nations islamiques ou favorables à Israël. Il se présente comme fortement anti-occidentaux et s'est positionné en défenseur du monde islamique. Le groupe a été observé pour la première fois en mai 2021 et, à la fin de l'année 2023, il coordonnait des attaques avec d'autres groupes tels que Killnet et Anonymous Sudan. Le DFM est toujours actif, mais les attaques restent faibles, sauf lors d'événements importants ou de fêtes liées à leur cause.

Le DFRC a été observé plus tard, lorsqu'il a commencé à dresser la liste des victimes et à divulguer des données volées sur son site dédié aux fuites en 2024. Les chercheurs ont noté que DragonForce s'est orienté vers un modèle de ransomware-as-a-service (RaaS) peu de temps après.  En mars 2025, DragonForce a annoncé qu'il opérerait en tant que cartel et a invité d'autres groupes à se joindre à lui.

 

Alors, le DFRC est-il une évolution du groupe hacktiviste ? Certaines preuves circonstancielles permettent d'établir un lien. Ils utilisent tous les deux « DragonForce » dans leur nom, ce qui alimente certaines spéculations concernant un lien et peut semer la confusion chez les chercheurs. Le ransomware Medusa est un bon exemple de la manière dont des noms partagés ou similaires peuvent rendre la recherche sur les acteurs malveillants plus difficile.

Un deuxième point à l'appui est que les deux groupes DragonForce auraient un lien avec la Malaisie. Le groupe hacktiviste opère dans la région, et certains chercheurs ont pensé que le groupe de ransomware pourrait avoir des liens avec la Malaisie en raison de ses schémas de ciblage des victimes. Un dernier point à l'appui est que les deux groupes se livrent à des attaques perturbatrices et à des fuites de données.  

Il s'agit là des éléments publics qui indiquent un lien entre les deux groupes. Cela ne semble pas être grand-chose, mais de nombreux chercheurs et sources de l'industrie soutiennent cette conclusion.

Examinons maintenant les éléments de preuve qui vont à l'encontre de ce lien. La première chose à prendre en compte est que DragonForce Malaysia a nié tout lien avec le groupe de ransomware et a nié avoir jamais utilisé de ransomware dans ses attaques.

Traduction IA :

DragonForce Malaysia

DÉCLARATION OFFICIELLE : MOTIF ET MODE OPÉRATOIRE…

Pour votre information, ceci est notre déclaration officielle visant à réfuter les affirmations faites par certains articles étrangers concernant plusieurs attaques récentes qui seraient menées par un groupe connu sous le nom de « DragonForce Ransomware », lequel serait également lié ou apparenté à DragonForce Malaysia.

Nous tenons à préciser ici que les objectifs du groupe connu sous le nom de DragonForce Ransomware sont clairement en contradiction avec nos propres objectifs. Il est très clair qu'ils sont davantage motivés par le profit et opèrent avec une nature extorsionnaire, tandis que DragonForce Malaysia, bien que nous ne nions ni ne confirmions l'existence d'une telle entité, n'a jamais été impliquée ni responsable d'attaques nuisibles ou d'actions d'extorsion.

Notre lutte est contre l'oppression, pas une lutte d'extorsion.

De plus, nous n'avons jamais été piégés par aucune forme d'opération « sous fausse bannière », que ce soit de la part de parties ennemies ou de l'intérieur même du pays.

Cordialement,

Il ne voit pas le mal, n'entend pas le mal et ne dit pas le mal.

~Dexter's~

Les deux groupes disposent également d'une infrastructure et de tactiques, techniques et procédures (TTP) distinctes, bien que cela soit attendu si l'on considère les motivations de chaque groupe. Par exemple, DFM n'a été lié à aucune infrastructure de paiement, probablement parce qu'il ne se livre pas à l'extorsion. Il n'y a pas non plus d'escalade de privilèges, d'accès aux identifiants ou d'exfiltration de données comme on le verrait dans un ransomware ou une attaque motivée par des raisons financières ou par un État-nation. La plupart des victimes du DFM subissent le même sort que les victimes d'autres groupes hacktivistes, à savoir souvent des perturbations des activités et des dégradations de sites web.

Un autre point à prendre en considération est qu'il ne semble pas y avoir de preuve de liens entre le DFRC et la Malaisie en termes d'infrastructure, de localisation d'opérateurs ou d'hébergement de commandement et de contrôle. Il n'existe aucune victime malaisienne vérifiée et il semble qu'il n'y ait pas de règles DFRC connues interdisant les attaques contre les entreprises en Malaisie. Cela ne constitue pas une preuve que le DFRC n'a pas de liens avec la Malaisie, mais c'est pertinent ici en raison des preuves concernant le profil des victimes mentionnées ci-dessus.

Il existe également des preuves établissant un lien entre le DFRC et la Russie et d'autres pays de la Communauté des États indépendants (CEI).

Preuves d'origine russe ou de la CEI

Il n'existe pas de conclusion définitive selon laquelle le cartel de DragonForce Ransomware est basé ou aligné sur des États post-soviétiques, mais il existe certaines preuves :

• Les variantes de ransomware du groupe sont basées sur des créateurs divulgués associés à des groupes cybercriminels russes.
• Le DFRC utilise des outils comme SystemBC, Mimikatz et Cobalt Strike, qui sont fréquemment employés par des acteurs malveillants russophones.
• DragonForce s'est activement engagée et a fait de la publicité pour ses services sur le Russian Anonymous Market Place, ou RAMP. La plupart des utilisateurs de RAMP communiquent en russe.
• Les règles d'affiliation interdisent les attaques contre la Russie et d'autres pays de l'ancienne Union soviétique.

Selon The Register, le groupe rival de ransomware RansomHub a accusé le DFRC de travailler en tant qu'agent du Service fédéral de sécurité russe (FSB). Il ne semble pas y avoir de preuve substantielle pour étayer ou réfuter l'accusation. Certains analystes du secteur pensent que le DFRC et des groupes similaires travaillent effectivement pour l'État, mais ils le font d'une manière qui masque le rôle du gouvernement.

Toutes ces preuves pourraient suggérer un lien avec les États post-soviétiques, mais elles pourraient également être interprétées comme des « meilleures pratiques » pour un groupe qui souhaite 1) recruter de nombreux affiliés criminels et 2) utiliser des malwares et des techniques éprouvées. 

Chronologie des événements

DragonForce Ransomware est devenu un groupe de ransomware fin 2023 utilisant des charges utiles basées sur le code source de LockBit 3.0 et Conti. La Ohio Lottery et Yakult Australia figurent parmi les premières victimes très médiatisées. 

L'opération DragonForce RaaS

DragonForce a annoncé son opération de ransomware-as-a-service (RaaS) début 2024 et a activement recruté des affiliés via des forums clandestins et d'autres canaux de communication.

À ce stade, DragonForce est un véritable RaaS, donc les affiliés mènent des campagnes de ransomware traditionnelles en utilisant l'infrastructure et la marque DragonForce. DragonForce a pris 20 % des paiements de rançon comme frais de service, et les affiliés ont gardé le reste. D'ici la fin de 2024, l'opération a fait 93 victimes dans plusieurs pays.

Le cartel DragonForce Ransomware

Le 19 mars 2025, DragonForce Ransomware a annoncé qu'il fonctionnait comme un cartel. Nous constatons ici un changement significatif dans la façon dont ils abordent leurs rivaux et les opportunités criminelles.

Il ne s'agit pas d'un changement de marque, où le groupe disparaît et revient avec un nom différent, mais d'une évolution vers un nouveau modèle de criminalité qui remplace la hiérarchie centralisée d'un groupe par une coalition décentralisée d'acteurs malveillants. Les membres du cartel peuvent lancer des attaques sous leur propre marque en utilisant les ressources de DragonForce, et ils peuvent collaborer et partager entre eux comme ils le souhaitent. En tant que cartel, le DFRC assure également les relations avec la presse et utilisera la publicité pour faire pression sur les victimes et tenter de dominer le paysage des menaces.

« Des hackers ont contacté la BBC avec la preuve qu'ils avaient infiltré les réseaux informatiques et volé d'énormes quantités de données sur les clients et les employés. » ~BBC World Service

« DragonForce a déclaré à BleepingComputer que leur structure est celle d'un marché, où les affiliés peuvent choisir de déployer des attaques sous la marque DragonForce ou une autre. » ~BleepingComputer

« Nous ne lançons pas d'attaque contre les patients atteints de cancer ni contre les personnes atteintes de maladies cardiaques ; nous préférons leur envoyer de l'argent et les aider. Nous sommes là pour les affaires et l'argent. Je ne suis pas venu ici pour tuer des gens, et mes partenaires non plus. » ~BleepingComputer

DragonForce n'est pas le premier cartel de ransomware, mais il semble être le premier à faire autant d'autopromotion et à être ouvertement hostile envers ses concurrents.

DragonForce contre tout le monde

Après avoir annoncé son entrée dans le cartel, DragonForce a rapidement ciblé ses rivaux avec des campagnes de harcèlement et des tentatives de rachat hostiles. Dans les 24 heures suivant l'annonce du cartel, DragonForce a défiguré les sites de fuite des groupes BlackLock et Mamona RaaS. 

À ce stade, tournons notre attention vers RansomHub et toutes les filiales orphelines du RaaS qu'il avait prises sous son aile. Ce groupe fonctionnait avec succès en tant que modèle RaaS ou hybride jusqu'au 1er avril 2025, date à laquelle son infrastructure a été mise hors ligne.

RansomBay, une ancienne filiale de RansomHub, a rejoint DragonForce et a même intégré des éléments du logo de DragonForce dans ses opérations.

Le 8 avril, DragonForce s'est rendu sur les forums et a annoncé que RansomHub rejoignait le cartel.

DragonForce a également publié des images d'un portail affilié à RansomHub.

À ce stade, nous commençons à voir RansomHub riposter dans les forums. Le 25 avril, le porte-parole de RansomHub, « Koley », a publié une capture d'écran montrant que le site de fuite DragonForce rencontrait des problèmes avec des « travaux techniques » et a suggéré que le cartel avait des « traîtres » dans ses rangs. Le va-et-vient entre les deux s'est poursuivi, les observateurs spéculant sur des scams à la sortie et un rebranding. Le 28 avril nous voyons la grande accusation de Koley :

« Vous utilisez les fédéraux pour voler et faire taire les autres. Nous le savons. »

Ceci est cohérent avec le rapport de The Register sur les accusations.

Victimes du cartel de ransomware DragonForce

Depuis l'annonce en mars, DFRC s'est concentré sur les principaux détaillants britanniques. Les victimes dans ce secteur incluent :

• Marks & Spencer (M&S) : cette attaque a perturbé les commandes et les systèmes de paiement en ligne, et a compromis les données des clients. DragonForce a envoyé des e-mails d'extorsion au PDG et à d'autres dirigeants, se vantant de l'attack et menaçant de divulguer des informations sensibles. Des extraits de l'e-mail peuvent être lus ici.
• Co-op : les opérations de back-office et de centre d'appel ont été touchées, mais l'entreprise et ses magasins ont continué à fonctionner normalement pendant l'attaque. Co-op a confirmé l'exposition des données personnelles de plus de 10 000 membres.
• Harrods : c'est une victime probable, mais pas tout à fait vérifiée. DragonForce a revendiqué la responsabilité d'une cyberattaque qui a poussé Harrods à restreindre l'accès à Internet et à prendre d'autres mesures d'atténuation.  L'attribution à DragonForce n'a pas été confirmée.

Les membres du cartel ont également compromis au moins 15 cibles industrielles et compromis une application d'un fournisseur de services gérés (MSP) dans le cadre d'une attaque de la chaîne d'approvisionnement qui permet ensuite d'attaquer les clients du MSP.

Quelle est la prochaine étape pour ce cartel ?

Si les représailles rivales et le mécontentement interne ne nuisent pas à DragonForce, le cartel continuera probablement à se développer. Cela contribuera à la fluidité du paysage de la menace et à l'agilité des acteurs malveillants, qui pourront changer de nom ou simplement disparaître dans un autre groupe ou un autre type de criminalité.  Il est possible que le cartel se développe si rapidement qu'il ne puisse pas gérer l'opération suffisamment bien pour éviter les fuites. Les forces de l'ordre ont connu un certain succès ces dernières années, alors peut-être qu'elles pourront porter un coup à celui-ci aussi.

Protégez-vous

Le site Web Stop Ransomware de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis peut vous aider à prévenir les attaques par ransomware. Vous devriez consulter ce site pour vous informer sur les communications d’urgence, les mauvaises pratiques et la réponse appropriée aux attaques de ransomware. Assurez-vous également de suivre les bonnes pratiques standard, telles que les backups régulières des données et le management des correctifs en temps opportun.

Barracuda offre une protection complète contre les ransomwares et propose l’une des plateformes de cybersécurité les plus complètes du marché. Consultez notre site web pour en savoir plus sur la façon dont nous protégeons les messageries électroniques, les réseaux, les applications et les données.