DragonForce Ransomware (Actualización)
DragonForce es un grupo de ransomware como servicio conocido desde 2023. Ha pasado por varias etapas a lo largo de su existencia, ahora considerándose algo más que un grupo, se consideran un cártel. Se hacen llamar así debido a que han pasado de trabajar y vender sus servicios, a aliarse con múltiples grupos de amenaza, como ShinyHunters o Scattered Spider, cambiar sus estrategia de operaciones, así como escalar su infraestructura. Este cambio ha facilitado la entrada y actividad de nuevos actores de amenaza afiliados a DragonForce.
Figura 1. Anuncio de conversión a cártel.
Desde sus inicios, este grupo de ransomware ha reclutado miembros y afiliados en foros y grupos de la dark web para ampliar su operación. DragonForce comenzó a partir del código fuente de LockBit 3.0 (aún activo como LockBit 5.0), para después migrar a otra versión basada en el código fuente filtrado de Conti v3. Algunas de las herramientas que el grupo utiliza son: SystemBC, Cobalt Strike, Mimikatz y scripts personalizados de PowerShell, así como MEGA, SFTP o WebDAV para la exfiltración de información; cabe aclarar que el set de herramientas y tácticas pueden variar debido a los grupos afiliados a DragonForce. El grupo otorga una variante del ransomware a cada afiliado. Una vez activado el ransomware, la extensión de los archivos pasa a ser: “.dragonforce”, “.dforce” o “.encrypted”.
Los afiliados al “cártel” no necesitan utilizar exclusivamente el ransomware que el grupo provee, sino que también pueden desplegar su propio malware usando la infraestructura y marca de DragonForce, lo cual disminuye la barrera de dificultad y permite, tanto a nuevos grupos como a grupos establecidos seguir sus operaciones sin tener que construir y mantener un ecosistema completo. Esta posibilidad aumenta el atractivo para afiliarse a grupos ajenos existentes y grupos emergentes.
Como se mencionaba, la metodología de ataques de DragonForce varía según el actor de amenaza que esté operando, así como según los terceros que estén involucrados en los ataques. Recientemente DragonForce se ha estado aliando con los grupos ShinyHunters y ScatteredSpider para la primera etapa de sus ataques, debido a que estos tienen gran éxito en sus campañas de phishing, facilitando el acceso inicial y despliegue en la primera etapa de infección de ransomware.
Después de obtener acceso, alguno de los grupos involucrados utiliza herramientas de monitoreo y administración remota o túneles para persistir en el sistema vulnerado, el cual mapean y exploran, enfocándose en instancias de SharePoint, infraestructura de VMware, almacenamiento de credenciales o copias de seguridad y demás. Posteriormente DragonFoce utiliza un controlador vulnerable (una técnica llamada BYOVD que se ha estado popularizando), ya sea TrueSight o BadRentdrv2, a través del cual consigue escalar privilegios y desactivar software de seguridad presente en el sistema, así como procesos protegidos.
Figura 2. Repositorio de controlador vulnerable BadRentdrv2.
Finalmente, el proceso de encriptado, que emplea ChaCha20, comienza tanto para el sistema de archivos local, como para posibles recursos compartidos a través de SMB, y comienza la doble-extorsión para la víctima, a la cual amenazan con eliminar la herramienta de desencriptado y publicar toda su información en un periodo de tiempo determinado.
Taxonomía
| Tactic | ID | Name |
| Reconnaissance | T1078 | Valid Account |
| Reconnaissance | T1589 | Gather Victim Identity Information |
| Reconnaissance | T1591 | Gather Victim Org Information |
| Initial Access | T1078 | Valid Account |
| Initial Access | T1078.004 | Cloud Account |
| Initial Access | T1133 | External Remote Services |
| Initial Access | T1199 | Trusted Relationship |
| Initial Access | T1451 | SIM Card Swap |
| Initial Access | T1566 | Phishing |
| Initial Access | T1566.004 | Spearphishing Voice |
| Execution | T1204.002 | User Execution |
| Execution | T1059.001 | Command-Line Interface: PowerShell |
| Execution | T1569.002 | System Services: Service Execution |
| Persistence | T1078.002 | Valid Accounts: Domain Accounts |
| Persistence | T1547.001 | Boot or Logon Autostart |
| Persistence | T1543.003 | Create or Modify System Process: Windows Service |
| Defense Evasion | T1053.005 | Scheduled Task/Job: Scheduled Task |
| Defense Evasion | T1070.001 | Indicator Removal: Clear Windows Event Logs |
| Defense Evasion | T1218 | System Binary Proxy Execution |
| Defense Evasion | T1222 | File and Directory Permissions Modification |
| Defense Evasion | T1562 | Impair Defenses |
| Defense Evasion | T1562.001 | Impair Defenses: Disable or Modify Tools |
| Credential Access | T1003.001 | OS Credential Dumping: LSASS Memory |
| Discovery | T1016 | System Network Configuration Discovery |
| Discovery | T1018 | Remote System Discovery |
| Discovery | T1135 | Network Share Discovery |
| Discovery | T1046 | Network Service Discovery |
| Discovery | T1082 | System Information Discovery |
| Discovery | T1083 | File and Directory Discovery |
| Discovery | T1482 | Domain Trust Discovery |
| Lateral Movement | T1021.001 | Remote Services: Remote Desktop Protocol |
| Lateral Movement | T1021.002 | Remote Services: SMB/Windows Admin Shares |
| Lateral Movement | T1047 | Windows Management Instrumentation |
| Collection | T1005 | Data from Local System |
| Impact | T1486 | Data Encrypted for Impact |
| Impact | T1489 | Service Stop |
| Impact | T1490 | Inhibit System Recovery |
Indicadores de compromiso
| IOC | Tipo |
| 4db090498a57b85411417160747ffd8d4875f98b3ca2b83736a68900b7304d2b | SHA256 |
| f58af71e542c67fbacf7acc53a43243a5301d115eb41e26e4d5932d8555510d0 | SHA256 |
| e4c44d0f462fce02b2c31555b12c022cdd6eae6492fd3a122e32e105fc5a54f8 | SHA256 |
| 44994c720ad936809b54388d75945abd18b5707e20c9ee8f87b8f958ca8f5b16 | SHA256 |
| f5df98b344242c5eaad1fce421c640fadd71f7f21379d2bf7309001dfeb25972 | SHA256 |
| 0dfe23ab86cb5c1bfaf019521f3163aa5315a9ca3bb67d7d34eb51472c412b22 | SHA256 |
| 56dfe55b016c08f09dd5a2ab58504b377a3cd66ffba236a5a0539f6e2e39aa71 | SHA256 |
| ad158a9ef5e849f7a2d10828a9aed89ebded7a2b5b3abb765f5797051cdf4a20 | SHA256 |
| 451a42db9c514514ab71218033967554507b59a60ee1fc3d88cbeb39eec99f20 | SHA256 |
| dca4102fba483bf0060427e0d583a1f61d079bf0754db4d61ff2969cc1bc3474 | SHA256 |
| df5ab9015833023a03f92a797e20196672c1d6525501a9f9a94a45b0904c7403 | SHA256 |
| 80e3a04fa68be799b3c91737e1918f8394b250603a231a251524244e4d7f77d9 | SHA256 |
| d67a475f72ca65fd1ac5fd3be2f1cce2db78ba074f54dc4c4738d374d0eb19c7 | SHA256 |
| 1ccf8baf11427fae273ffed587b41c857fa2d8f3d3c6c0ddaa1fe4835f665eba | SHA256 |
| b10129c175c007148dd4f5aff4d7fb61eb3e4b0ed4897fea6b33e90555f2b845 | SHA256 |
| c844d02c91d5e6dc293de80085ad2f69b5c44bc46ec9fdaa4e3efbda062c871c | SHA256 |
| b9bba02d18bacc4bc8d9e4f70657d381568075590cc9d0e7590327d854224b32 | SHA256 |
| 8e8f463c37ea7133194731bfe4490e6713dd0133f30fe08a6d069d10fa7db2c6 | SHA256 |
| 941b0bb479946c833a0436ecb84b94c8468c86c40016f46029e8bf04a22a754e | SHA256 |
| 04b14ead49adea9431147c145a89c07fea2c6f1cb515d9d38906c7696d9c91d5 | SHA256 |
| c5554ab2ea04e9d938a47b09ea34ebedb46c223a500aa70f08f4b2dc6864bd90 | SHA256 |
Recomendaciones
- Implementar Inteligencia de Amenazas para mantener información actualizada sobre DragonForce y afiliados.
- Habilitar autenticación multifactorial y resistente a phishing.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto (NIST CSF, 2024).
- Revisar logs para de ejecución de software de acceso remoto (NIST CSF, 2024).
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad (NIST CSF, 2024).
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque (NIST CSF, 2024).
- Tener filtros de correo electrónico y spam.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
Referencias
- Kathir, M. (2026, febrero 5). DragonForce Ransomware Targets Critical Businesses to Exfiltrate Sensitive Data. GBHackers. Recuperado el 22 de abril de 2026, en: https://gbhackers.com/dragonforce-ransomware-2/
- Threat Actor Profile: DragonForce. (2025, agosto 11). Surefire Cyber. Recuperado el 22 de abril de 2026, en: https://www.surefirecyber.com/threat-actor-profile-dragonforce/
- Tsipershtein, M., & Ananin, E. (2026, febrero 3). The Godfather of Ransomware? Inside DragonForce’s Cartel Ambitions. LevelBlue. Recuperado el 22 de abril de 2026, en: https://www.levelblue.com/blogs/spiderlabs-blog/the-godfather-of-ransomware-inside-dragonforces-cartel-ambitions
- Virtusio, D., Catalan, D., Kimhy, E., & Pontiroli, S. (2025, noviembre 4). The DragonForce Cartel: Scattered Spider at the gate. Acronis. Recuperado el 22 de abril de 2026, en: https://www.acronis.com/en/tru/posts/the-dragonforce-cartel-scattered-spider-at-the-gate/
