Vivamos en paz (y robemos juntos): DragonForce insta a las mayores bandas de ciberdelincuentes a pactar las reglas de un "cártel" hacker

El grupo extorsionador DragonForce, en menos de dos años, se ha transformado de un proyecto poco conocido a uno de los actores más agresivos en el mercado del chantaje digital. Los analistas de la empresa Cybereason informan que los operadores no solo llevan a cabo ataques, sino que están construyendo todo un modelo «cartel» y tratan de atraer a otras bandas.

DragonForce apareció a finales de 2023 y pronto se dio a conocer mediante una serie de ataques a grandes organizaciones. Los criminales utilizan un esquema doble de presión. No solo cifran los datos de las empresas, sino que antes sustraen archivos confidenciales. Si la víctima se niega a pagar, prometen publicar la información en el segmento oscuro de la red. Con mayor frecuencia han sido atacados los sectores de la producción industrial, la construcción, los proveedores de servicios empresariales y las empresas tecnológicas. La mayoría de los incidentes se han registrado en Estados Unidos, Reino Unido, Alemania, Australia e Italia.

Los especialistas señalan que los delincuentes ofrecen a sus socios un servicio de «extorsión como servicio». En esencia, se trata de una plataforma modular de ataques con soporte para distintos sistemas, incluidos Windows, Linux y plataformas de virtualización para servidores. El paquete incluye distintos modos de cifrado de archivos, configuración de retrasos de ejecución, funcionamiento multihilo y registros detallados de actividad. Incluso existe un modo de prueba que permite verificar el ataque sin un cifrado real. Recientemente, los operadores facilitaron la incorporación de nuevos participantes y pusieron en marcha un registro automatizado sin las rigurosas comprobaciones anteriores.

DragonForce también anunció un cambio de estrategia. Ahora se permite a los socios crear sus propias «marcas» dentro del cartel y llevar a cabo proyectos separados utilizando la infraestructura común. Paralelamente, el grupo lanzó una campaña agresiva contra competidores. Según Cybereason, llegó a piratear y dañar el sitio de filtraciones de otra banda, y afirmó haber «incorporado» al grupo RansomHub. Este grupo lo negó públicamente y acusó a sus rivales de sabotaje y de vínculos con servicios de inteligencia. Más tarde, representantes de DragonForce pidieron a las grandes bandas que acordaran reglas de funcionamiento y anunciaron la creación de una coalición con varios conocidos proyectos extorsionadores.

Una línea de actividad resulta especialmente reveladora. En lugar de limitarse a publicar los archivos robados, los criminales lanzaron un servicio de «auditoría de datos de la empresa». A los socios se les ofrece el análisis de la información sustraída, la evaluación de los riesgos empresariales y reputacionales de la víctima e incluso textos de cartas y guiones de negociación para presionar a la dirección. En la práctica se trata de consultoría para el chantaje, lo que indica un aumento de la organización y la profesionalización del entorno criminal.

El análisis técnico de las muestras mostró similitudes con desarrollos previamente filtrados de otros extorsionadores. El programa malicioso explora la red, busca servicios de red abiertos, elimina las copias sombra de los archivos mediante utilidades del sistema y con ello priva a la víctima de una recuperación rápida. También se emplean mecanismos para eludir medidas de protección y para propagarse por la red interna.

Los especialistas subrayan que DragonForce cambia rápidamente herramientas y tácticas, amplía de forma activa la red de socios y aumenta la eficacia de los ataques. Esto convierte al grupo en una amenaza persistente para empresas de diversos sectores. Los expertos recomiendan prestar especial atención a la actualización de sistemas, la verificación multifactor de acceso, las copias de seguridad y la detección temprana de actividad sospechosa dentro de la red.