Ransomware ohne Regeln: : DragonForce entfesselt den Machtkampf im Cyber-Untergrund
Nach dem Fall von LockBit kämpfen neue Angreifergruppen um die Vorherrschaft im Ransomware-„Geschäft“. Dabei schrecken sie auch vor Angriffen auf ihre Konkurrenten nicht zurück.
Seit der internationalen Strafverfolgungsaktion „Cronos“, die im Februar 2024 die Leaksite der berüchtigten LockBit-Gruppe vom Netz nahm, ist im Ransomware-Milieu ein Vakuum entstanden. Die Folge: ein gnadenloser Revierkampf unter den verbleibenden und neu aufstrebenden Gruppen. Besonders eine Gruppierung nutzt das Chaos für ihre eigenen Ambitionen – DragonForce. Die Gruppe will mehr als nur Lösegeld: Sie greift gezielt Konkurrenten an, um sich als dominante Kraft im globalen Ransomware-Geschäft zu etablieren.
Vom RaaS-Modell zum selbsternannten „Kartell“
Ursprünglich trat DragonForce im August 2023 als klassische Ransomware-as-a-Service-Plattform auf. Doch im März 2025 verkündete die Gruppe eine radikale Neuausrichtung: Sie bezeichnete sich fortan als „Kartell“, das anderen Angreifern Infrastruktur, Tools und Markenunabhängigkeit bietet. In der Praxis bedeutet das: mehr Flexibilität für Partner – und mehr Macht für DragonForce.
Parallel dazu begannen die Angriffe auf konkurrierende Gruppen: Die Leaksites von BlackLock und Mamona wurden mutmaßlich durch DragonForce manipuliert. Auch RansomHub, eine der produktivsten Gruppen nach dem Zerfall von ALPHV (BlackCat), geriet ins Visier. Beiträge auf Underground-Foren lassen darauf schließen, dass DragonForce versuchte, RansomHub zu übernehmen.
Interner Krieg im Cyber-Untergrund
Die Situation eskalierte, als die Leaksite von RansomHub plötzlich offline ging und nur noch die Botschaft „RansomHub R.I.P. 03.03.2025“ anzeigte. Kurz darauf beschuldigte das bekannte RansomHub-Mitglied „Koley“ die DragonForce-Akteure der Sabotage, der Lügenverbreitung – und sogar der Zusammenarbeit mit Ermittlungsbehörden. In einem Racheakt wurde die DragonForce-Webseite kompromittiert und mit einer spöttischen Nachricht versehen.
Die ehemals klar organisierten Ransomware-Strukturen geraten aus den Fugen. Gruppen spalten sich, fusionieren oder übernehmen einander – und sind dabei längst nicht mehr nur auf Unternehmen fokussiert, sondern auch auf sich selbst.
Die Bedrohung für Unternehmen bleibt real
Trotz des Chaos im Untergrund bleibt die Gefahr für Unternehmen hoch. „Die Auseinandersetzungen stören zwar interne Abläufe, aber sie verringern nicht das Risiko für Opfer“, warnt Aiden Sinnott von der Sophos Counter Threat Unit. Im Gegenteil: Die zunehmende Instabilität könnte zu unberechenbareren Angriffen führen, bei denen Daten opportunistisch weiterverkauft, mehrfach erpresst oder öffentlich geleakt werden.
DragonForce greift gezielt virtuelle Umgebungen wie VMware ESXi an, stiehlt Anmeldedaten, missbraucht Active Directory und exfiltriert sensible Daten. Der eigentliche Gegner für Unternehmen ist also weniger die Gruppe selbst, als das sich radikal verändernde Bedrohungsökosystem, das kaum noch berechenbaren Regeln folgt.
Unternehmen müssen ihre Sicherheitsstrategie neu denken
Der Fall DragonForce zeigt: Die Zeiten klar identifizierbarer Bedrohungsakteure mit berechenbaren Mustern sind vorbei. Stattdessen agieren Ransomware-Gruppen wie konkurrierende Start-ups – mit aggressiven Übernahmeplänen, flexiblen Geschäftsmodellen und wachsendem Machtanspruch.
Für Unternehmen heißt das: Die klassische Incident Response reicht nicht mehr aus. Es braucht eine vorausschauende Sicherheitsstrategie, die Threat Intelligence, Lieferkettenrisiken und Angriffsflächen in virtuellen Infrastrukturen gezielt adressiert. Nur wer versteht, wie sich die Cybercrime-Szene intern neu organisiert, kann sich wirksam vor ihren Folgen schützen.
DragonForce steht exemplarisch für einen neuen Typ von Cybercrime-Akteuren: expansiv, aggressiv und strategisch. Der Machtkampf im Untergrund tobt – und seine Auswirkungen spüren nicht nur die Konkurrenten, sondern auch die Unternehmen weltweit.
Weitere Details zur Sophos-Untersuchung gibt es im englischen Original-Blogbeitrag „DragonForce targets rivals in a play for dominance“.
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
