DragonForce es un grupo de ransomware que apareció en la escena cibercriminal en diciembre de 2023. A diferencia de otros grupos que tardan meses en escalar, DragonForce mostró una madurez inmediata, utilizando un sitio de filtraciones (leak site) altamente sofisticado y tácticas de presión psicológica extremas. Su enfoque principal no es solo el cifrado, sino la exfiltración masiva de datos para forzar el pago mediante la humillación pública de la víctima.
Modelo de negocio y operación criminal
DragonForce opera bajo un modelo de Ransomware-as-a-Service (RaaS), pero con un enfoque más selectivo en sus afiliados:
- Afiliados de Élite: El grupo busca actores con experiencia previa en redes corporativas complejas.
- Infraestructura Compartida: Se ha observado que utilizan variantes del ransomware LockBit 3.0 (Black), aprovechando la filtración del código fuente de este último, lo que les permite una personalización técnica elevada.
- Negociación Agresiva: Utilizan chats de negociación en tiempo real y, en ocasiones, realizan llamadas telefónicas a los ejecutivos de las empresas víctimas para aumentar la urgencia.
Acceso inicial y primeras fases del ataque
DragonForce aprovecha vulnerabilidades conocidas y debilidades de configuración:
- Explotación de Vulnerabilidades: Uso frecuente de fallos en dispositivos de borde (VPNs, firewalls) y software como Citrix o Ivanti.
- RDP Expuesto: Compra de credenciales de acceso inicial en foros de la Dark Web.
- Movimiento Lateral: Una vez dentro, utilizan herramientas legítimas como Advanced IP Scanner y Mimikatz para mapear la red y extraer credenciales de administrador.
Comportamiento técnico y capacidades clave
El binario de DragonForce es altamente eficaz y se centra en la velocidad:
- Cifrado Híbrido: Utiliza una combinación de algoritmos simétricos y asimétricos para asegurar que los archivos sean irrecuperables sin la clave privada.
- Evasión de EDR: Implementa técnicas para suspender o terminar procesos de software de seguridad (antivirus y EDR) antes de iniciar el cifrado.
- Limpieza de Huellas: Borrado sistemático de logs de eventos de Windows para dificultar el análisis forense post-mortem.
- Enfoque en Backup: Identifica y cifra específicamente los repositorios de copias de seguridad antes de tocar las estaciones de trabajo.
Sectores objetivo y alcance geográfico
DragonForce es oportunista, aunque prefiere objetivos con grandes volúmenes de datos sensibles:
- Manufactura y Logística
- Servicios Financieros
- Sector Público y Gobierno
Su actividad ha sido prominente en:
- Estados Unidos y Reino Unido
- Brasil
- India
- España
Incidentes relevantes
Uno de los ataques más sonados de DragonForce ocurrió a principios de 2024 contra la multinacional Coca-Cola HBC, donde afirmaron haber robado gigabytes de datos confidenciales. Otro caso crítico fue el ataque a una importante entidad gubernamental en Ohio, EE. UU., donde publicaron datos de ciudadanos tras la negativa de la entidad a negociar.
Tácticas, Técnicas y Procedimientos (TTPs)
| Táctica | Técnica | Descripción | MITRE ID |
| Acceso Inicial | Exploit Public-Facing Application | Explotación de vulnerabilidades en VPNs y servicios externos. | T1190 |
| Ejecución | Windows Command Shell | Uso extensivo de PowerShell para descargar payloads. | T1059.003 |
| Persistencia | Create or Modify System Process | Creación de servicios maliciosos para mantener el acceso. | T1543 |
| Evasión | Impair Defenses | Desactivación de Windows Defender y herramientas EDR. | T1562.001 |
| Descubrimiento | Network Service Scanning | Escaneo de la red para identificar servidores de backup. | T1046 |
| Impacto | Data Encrypted for Impact | Uso de variantes basadas en el builder de LockBit 3.0. | T1486 |
| Exfiltración | Exfiltration Over Web Service | Uso de herramientas como Rclone para subir datos a la nube (MEGA, Dropbox). | T1567.002 |
¿Por qué DragonForce importa HOY?
DragonForce representa la profesionalización del cibercrimen oportunista. Su importancia radica en tres pilares:
- Reciclaje de Tecnología: Demuestran que no se necesita código 100% original si sabes cómo usar las filtraciones de grupos grandes (como LockBit) de manera efectiva.
- Guerra Psicológica: Su sitio de fugas no solo contiene archivos, sino contadores regresivos y descripciones detalladas del “fracaso” de la seguridad de la víctima.
- Resiliencia de Infraestructura: Han demostrado una gran capacidad para cambiar de servidores rápidamente cuando sus sitios son dados de baja por las autoridades.
