Aggiornamenti recenti Novembre 19th, 2025 4:49 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- DragonForce evolve in un “cartello” ransomware e diventa più aggressivo
- Rust riduce sensibilmente le vulnerabilità di memory safety in Android
- Impressionate! Un attacco DDoS da quasi 16 Tbps contro Azure
- Il protocollo di rete “Finger” rinasce in attacchi ClickFix
- CERT-AGID 8–14 novembre: ondata di phishing su hosting, PagoPA e università
DragonForce evolve in un “cartello” ransomware e diventa più aggressivo
Di recente la Threat Research Unit di Acronis ha analizzato nuove attività di DragonForce, una gang di ransomware-as-a-service (RaaS) che starebbe utilizzando variante migliorata e più aggressiva del proprio malware.
Comparso per la prima volta nel 2023, il gruppo ha fin da subito cominciato a reclutare partner su forum del darkweb per espandere le proprie attività malevole. Dall’inizio del 2025, DragonForce ha optato per un “rebranding” presentandosi come un “cartello” ransomware, rafforzando la sua posizione nella scena cybercriminale.
Questo cambiamento lo ha reso un fornitore di infrastrutture per gli altri cybercriminali, con il risultato che anche i gruppi che mancano di conoscenze tecniche specifiche possono usare facilmente il ransomware. I ricercatori di Acronis evidenziano che il modello scelto da DragonForce è particolarmente allettante per gli affiliati per due motivi: in primo luogo, il gruppo trattiene come fornitura del servizio soltanto il 20% dei guadagni, lasciando il restante all’affiliato; in secondo luogo, segue un approccio “white label” che consente agli affiliati di usare il proprio brand e sviluppare le proprie varianti di ransomware.
La gang ha creato il proprio ransomware basandosi prima su un builder LockBit 3.0 per i software di crittografia, poi adottando un codice Conti V3 personalizzato.
La variante attuale è nata come miglioramento della crittografia usata da Akira, un gruppo ransomware rivale di DragonForce. La gang, che le debolezze del ransomware sono state rese note pubblicamente, ha corretto i difetti di crittografia che rendevano possibile individuare la chiave privata.
La nuova versione del malware è pensata per colpire un ampio spettro di sistemi, inclusi Windows, Linux e le infrastrutture di virtualizzazione ESXi. Il nuovo ransomware utilizza inoltre tecniche avanzate per l’individuazione e la disabilitazione di antivirus prima dell’esecuzione processi di crittografia.
DragonForce e Scattered Spider
Tra i partner più famosi e attivi della gang c’è Scattered Spider, broker di accesso iniziale già noto per essersi affiliato ad altri operatori RaaS come BlackCat, RansomHub e Qilin. Insieme a DragonForce, al gruppo sono stati attribuiti gli attacchi a Marks & Spencer dello scorso maggio.
Dall’analisi di Acronis emerge una stretta collaborazione tra i due gruppi: “L’intrusione tipicamente comincia con Scattered Spider che identifica le sue vittime eseguendo una ricognizione sui dipendenti dell’organizzazione per inventarsi un personaggio e un pretesto. Raccoglie informazioni sulle vittime come nome, ruolo e altre informazioni generali attraverso i social media e metodi di intelligence open source” spiegano i ricercatori.
Scattered Spider usa tattiche basate sull’ingegneria sociale, come phishing telefonico (vishing), clonazione delle SIM e tecniche per aggirare l’autenticazione a due fattori. La partnership, di fatto, funziona come una catena di montaggio criminale: Scattered Spider si occupa di individuare i bersagli per rubarne le credenziali, penetrare nelle reti aziendali e in seguito esfiltrare dati sensibili; in seguito, distribuiscono il ransomware fornito da DragonForce per richiedere il riscatto.
L’alleanza di DragonForce non si limita solo a ScatteredSpider: il gruppo RaaS si è evoluto in un ecosistema molto ampio che coinvolge, tra gli altri, anche nomi noti quali LAPSUS$ e ShinyHunters.
Un’altra collaborazione interessante è quella con Devman: i ricercatori di Acronis hanno individuato campioni di ransomware di questo gruppo creati usando il builder di DragonForce. Ci sono anche numerose somiglianze nella struttura delle note di riscatto.
Pixabay
Dalla fine del 2023, DragonForce ha pubblicato i dati di oltre 200 vittime, colpendo settori che vanno dalle compagnie aeree, alle assicurazioni e agli MSP. L’evoluzione verso un modello a “cartello” ha permesso al gruppo di stringere partnership specializzate che, unite a un rapido miglioramento delle tecniche e tattiche, hanno reso DragonForce una delle minacce più significative per le organizzazioni.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
DragonForce evolve in un “cartello” ransomware... Di recente la Threat Research Unit di Acronis ha analizzato... -
Rust riduce sensibilmente le vulnerabilità di memory... Dopo un anno dall’annuncio dell’aumento... -
Crescono le truffe ai danni dei consumatori, preoccupano... I consumatori continuano a essere colpiti molto duramente... -
In aumento gli attacchi russi e lo spionaggio contro... Nell’ultimo APT Activity Report relativo al periodo... -
Scoperte nuove vulnerabilità di ChatGPT che portano a leak... I ricercatori di Tenable Research hanno scoperto nuove...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
DragonForce evolve in un “cartello” ransomware... Di recente la Threat Research Unit di Acronis ha...
-
Rust riduce sensibilmente le vulnerabilità di memory... Dopo un anno dall’annuncio dell’aumento...
-
Impressionate! Un attacco DDoS da quasi 16 Tbps contro Microsoft ha annunciato di aver subito un attacco massiccio... -
Il protocollo di rete “Finger” rinasce in... Il comando “Finger“, legato all’omonimo... -
CERT-AGID 8–14 novembre: ondata di phishing su hosting,... Nel periodo compreso tra l’8 e il 14 novembre, il...
Ransomware: la serie
No posts found.