DragonForce: το καρτέλ του RaaS και οι 363 επιθέσεις

Το όνομα DragonForce έχει γίνει γρήγορα συνώνυμο μιας νέας, πιο οργανωμένης μορφής ransomware: όχι απλά μια «ομάδα» hackers, αλλά μια πλατφόρμα που λειτουργεί σαν καρτέλ, προσφέροντας υπηρεσίες σε άλλους παρανόμους και συγχρόνως κρατώντας δικό της branding. Η ιστορία του ξεκινάει στο τέλος του 2023 και μέσα σε λίγους μήνες η δράση της κλιμακώθηκε σε επίπεδα που απαιτούν σοβαρή προσοχή από τις ομάδες ασφαλείας και τη νομοθεσία.

Πώς γεννήθηκε και τι αναβάθμισε την απήχησή της

Η δημόσια εμφάνιση του DragonForce χρονολογείται από τον Δεκέμβριο του 2023, όταν χρήστης με το ψευδώνυμο @dragonforce σε φόρουμ όπως το BreachForums άρχισε να δημοσιοποιεί κλεμμένα δεδομένα και να προωθεί προσαρμοσμένο ransomware που βασιζόταν σε διαρρεύσαντες κώδικες του LockBit 3.0 και του Conti. Η τεχνική αυτή «αναπαραγωγή και προσαρμογή» δείχνει κάτι κρίσιμο: οι σύγχρονες ομάδες ransomware δεν ξεκινούν πάντα από μηδενική βάση — ανακυκλώνουν και εξελίσσουν υπάρχοντα εργαλεία.

Από τον Δεκέμβριο του 2023 έως τον Ιανουάριο του 2026, το DragonForce απέδειξε την αποτελεσματικότητά του καταγράφοντας 363 οργανισμούς ως θύματα στη δημόσια data leak site του. Οι πρώτοι του στόχοι ήταν 22 τον πρώτο μήνα, όμως η δραστηριότητα αυξήθηκε δραματικά, φτάνοντας σε 35 δημοσιεύσεις θυμάτων μέσα σε έναν μήνα στις 12/2025. Αυτός ο ρυθμός υποδηλώνει συστηματική επιχειρησιακή κλίμακα, όχι περιστασιακές επιθέσεις.

Από ομάδα σε πλατφόρμα: η μετάβαση σε καρτέλ

Η βασική αλλαγή στη φιλοσοφία του DragonForce ήταν η στροφή από το παραδοσιακό μοντέλο «single gang» σε ένα μοντέλο RaaS (Ransomware-as-a-Service) πιο κοντά σε καρτελίστικη δομή. Αυτό σημαίνει ότι η ομάδα δεν περιορίζεται να σχεδιάζει και να εκτελεί επιθέσεις μόνη της· προσφέρει εργαλεία και υπηρεσίες σε ανεξάρτητους affiliates (συνεργάτες) που κρατούν τη δική τους ταυτότητα αλλά εκμεταλλεύονται την υποδομή του καρτέλ.

Κεντρικό κομμάτι αυτής της στρατηγικής είναι το εργαλείο RansomBay, ένας builder και portal που επιτρέπει στη «μοναδαρχική» ομάδα να δώσει σε συνεργάτες τη δυνατότητα παραγωγής προσαρμοσμένων payloads, διαχείρισης θυμάτων και παραμετροποίησης επιθέσεων. Το αποτέλεσμα είναι μια σκοπίμως διανεμημένη αλλά ενοποιημένη αγορά υπηρεσιών συμμόρφωσης και εκβιασμού.

Υπηρεσίες πάνω από το malware: τι πουλάει το καρτέλ

Η γκάμα υπηρεσιών που προσφέρει το DragonForce υπερβαίνει το κλασικό «δώσε μας χρήματα για να αποκρυπτογραφήσουμε». Σε αγγελίες σε σκοτεινά φόρουμ εμφανίζονται προσφορές για τηλεφωνικές παρενοχλήσεις θυμάτων, ανάλυση δεδομένων για αύξηση εκβιασμού, και υποστήριξη δημοσίευσης leaks στο κοινό. Αυτές οι επιμέρους υπηρεσίες εξυπηρετούν έναν σκοπό: να αυξήσουν την πίεση πάνω στις εταιρείες ώστε να πληρώσουν ή να υποστούν μεγαλύτερη ζημία στη δημόσια εικόνα τους.

Ταυτόχρονα, ο affiliate panel του καρτέλ προσφέρει εργαλεία διαχείρισης θυμάτων, παραγωγή payloads, ενσωματωμένο σύστημα ticket για υποστήριξη, και λειτουργίες leak publishing. Αυτή η επαγγελματική οργάνωση μετατρέπει την παράνομη δραστηριότητα σε κάτι που μοιάζει με νόμιμη επιχειρηματική υπηρεσία — με αντίστοιχους κινδύνους.

Τεχνικές εξελίξεις και τι σημαίνουν για τους αναλυτές

Σε τεχνικό επίπεδο, το λογισμικό του DragonForce εξελίσσεται διαρκώς. Σημαντικές αλλαγές στην δομή των metadata που προστίθενται σε κρυπτογραφημένα αρχεία — για παράδειγμα η διεύρυνση του πεδίου Encryption Ratio από 1 σε 4 bytes — έχουν συνέπειες για τη forensics: αυξάνεται το μέγεθος των appended δεδομένων και αλλάζει ο τρόπος με τον οποίο εργάζονται εργαλεία ανάκτησης ή ανάλυσης.

Επιπλέον, εσωτερικές επιλογές όπως η προσθήκη extension-based encryption mode επιτρέπουν στους χειριστές να επιλέγουν ανάμεσα σε πλήρη, μερική ή header-only κρυπτογράφηση ανά τύπο αρχείου, ζυγίζοντας την αιφνιδιαστικότητα, το χρόνο εκτέλεσης και το τελικό αντίκτυπο. Τέτοιες λειτουργίες δείχνουν κατανόηση των επιχειρησιακών αναγκών των affiliates: πιο ισχυρή πίεση όταν χρειάζεται, αλλά και ταχύτερες επιθέσεις όταν ο χρόνος έχει σημασία.

Cross-platform και επιθέσεις σε εικονικά περιβάλλοντα

Μια άλλη ανησυχητική εξέλιξη είναι η υποστήριξη πολλαπλών πλατφορμών: τα binaries του DragonForce περιλαμβάνουν εκδόσεις για Windows και Linux, με ειδικές εκδόσεις για ESXi, NAS και RHEL. Η ESXi έκδοση περιλαμβάνει λειτουργίες τερματισμού μηχανών και συλλογής στοιχείων περιβάλλοντος, στοχεύοντας να παραλύσει εικονικοποιημένες υποδομές και να μεγιστοποιήσει τις συνέπειες της επίθεσης.

Αν και κάποιες επιλογές όπως το BYOVD (Bring Your Own Vulnerable Driver) αφαιρέθηκαν πρόσφατα από το user interface του panel, η δυνατότητα BYOVD για διαδικασίες τερματισμού φαίνεται να παραμένει ενσωματωμένη στα νέα binaries. Αυτό συμβολίζει μια τακτική «κρυφής υποστήριξης» ευάλωτων, kernel-level τεχνικών που κάνουν την άμυνα πιο δύσκολη.

Συμμαχίες, εχθρότητες και η αγορά του σκοτεινού web

Το DragonForce δρα ενεργά σε μεγάλα σκοτεινά φόρουμ όπως το BreachForums, RAMP και Exploit, όπου κάνει leak δεδομένων, στρατολογεί affiliates και προωθεί υπηρεσίες. Σε δημόσιες συζητήσεις και επιθέσεις έχει επιχειρήσει συνεργασίες με ομάδες όπως LockBit και Qilin, ενώ ταυτόχρονα έχει συγκρουστεί με rivales όπως RansomHub και BlackLock. Αυτές οι σχέσεις — συνεργασίες ή επιθέσεις εναντίον άλλων — αντικατοπτρίζουν ένα περιβάλλον όπου η συμπορεύση και ο ανταγωνισμός συνυπάρχουν.

Η εμπλοκή του σε ένα ευρύ δίκτυο, που σύμφωνα με πληροφορίες συνδέεται ή αλληλεπιδρά με ομάδες όπως Scattered Spider και DEVMAN, δείχνει ότι δεν πρόκειται για έναν απομονωμένο φορέα αλλά για θεσμική παρουσία στην οικολογία του ransomware. Όσο πιο μεγάλος γίνεται αυτός ο «οικονομικός κόμβος», τόσο μεγαλύτερη είναι η ικανότητά του να προσελκύει αναρριχητές και να υπονομεύει προσπάθειες καθαρισμού.

Επιπτώσεις για οργανισμούς και άμυνα

Για τις εταιρείες, το μοντέλο καρτέλ σημαίνει πιο ευέλικτες, πιο τακτικές και πιο ασύμμετρες απειλές. Αντί για μία επίθεση με συγκεκριμένο εργαλείο, τώρα υπάρχει ένα marketplace από όπου μπορούν να αποκτηθούν εξατομικευμένα payloads και υπηρεσίες επιπλέον πίεσης. Η διπλή εκβίαση (exfiltration + κρυπτογράφηση) παραμένει το βασικό μοτίβο, αλλά με μεγαλύτερη δυνατότητα εξατομίκευσης και δημόσιας ντροπής μέσω leak sites.

Αντιμετώπιση σε αυτό το επίπεδο απαιτεί συνδυασμό τεχνικών μέτρων (σκληρή απομόνωση ESXi, έλεγχοι για BYOVD-like δραστηριότητα, patching, και δικλείδες μηδενικής εμπιστοσύνης) με λειτουργικές αλλαγές, όπως καλύτερα σχέδια ανάκτησης, δοκιμασμένα backups και προληπτική ανάλυση κινδύνων. Η συνεργασία μεταξύ ιδιωτικού και δημόσιου τομέα, και ο συντονισμός intel sharing, γίνονται πιο κρίσιμα από ποτέ.

Ελληνικό και ευρωπαϊκό πλαίσιο

Στο ευρωπαϊκό και ελληνικό περιβάλλον, οι επιθέσεις του τύπου DragonForce θέτουν ζητήματα συμμόρφωσης (GDPR), ασφάλειας κρίσιμων υποδομών και ασφάλισης επιχειρήσεων. Ο κανονισμός NIS2 και οι απαιτήσεις για incident reporting αυξάνουν την πίεση στις επιχειρήσεις να βελτιώσουν τις πρακτικές τους και να δηλώνουν περιστατικά. Στην Ελλάδα, όπου πολλές επιχειρήσεις του ιδιωτικού τομέα και δημόσιες δομές λειτουργούν με παλαιότερα συστήματα, η ανάγκη για επενδύσεις σε cybersecurity και επιμόρφωση είναι εμφανής.

Παράλληλα, οι ασφαλιστικές εταιρείες αναθεωρούν το ρίσκο και τα ασφάλιστρα, ενώ οι αρχές επιδιώκουν συνεργασίες με παρόχους threat intelligence για να εντοπίσουν και να αδρανοποιήσουν υποδομές που χρησιμοποιούνται από τέτοια «καρτέλ».

Γιατί έχει σημασία

Ο μετασχηματισμός του DragonForce σε καρτέλ RaaS αλλάζει τα δεδομένα της απειλής: οι επιθέσεις γίνονται πιο επαναλήψιμες, πιο ενορχηστρωμένες και πιο δύσκολα εντοπίσιμες. Για τις επιχειρήσεις αυτό σημαίνει ότι δεν αρκεί να αντιμετωπίζουν μεμονωμένα εργαλεία· πρέπει να κατανοήσουν τις αλυσίδες προμήθειας των επιτιθέμενων, τις υπηρεσίες που προσφέρονται στο σκοτεινό web και τις νέες τεχνικές που εφαρμόζονται στα binaries και στα panels των affiliates.

Επιπλέον, η ύπαρξη τέτοιων καρτελ ενισχύει τη δυναμική του «διαρκούς εκβιασμού» — οι οργανισμοί γίνονται στόχοι επανειλημμένα, καθώς το κόστος εισόδου για τους affiliates είναι χαμηλό και οι αποδόσεις για το καρτέλ υψηλές. Αυτό καθιστά την πρόληψη και την ετοιμότητα πιο κρίσιμες από ποτέ.

Συμπεράσματα και πρακτικές συμβουλές

Η μάχη εναντίον των ransomware καρτελ απαιτεί πολλαπλά επίπεδα αντίδρασης. Τεχνικά, οι οργανισμοί πρέπει να ενισχύσουν backups, segmentation δικτύου, hardening ESXi και να εφαρμόσουν detection για συμπεριφορές που σχετίζονται με BYOVD και kernel-level επιθέσεις. Λειτουργικά, χρειάζονται σχέδια επικοινωνίας, δοκιμασμένα σενάρια ανάκτησης και διαφάνεια με τις εποπτικές αρχές.

Στο επίπεδο πολιτικής, απαιτείται συντονισμός μεταξύ κρατών, ανταλλαγή πληροφοριών και στοχοθετημένες επιχειρήσεις για την αποδόμηση της υποδομής που τροφοδοτεί τέτοια καρτέλ. Χωρίς επιθετικές και συλλογικές πρωτοβουλίες, αυτά τα μοντέλα θα παραμείνουν κερδοφόρα και προσαρμοστικά.

Τελικά, το παράδειγμα του DragonForce δεν είναι μόνο μια τεχνική υπόθεση: είναι μια υπενθύμιση ότι η ψηφιακή ασφάλεια απαιτεί συνεχή επενδυτική και πολιτική προσοχή, καθώς οι απειλές γίνονται όλο και πιο επιχειρηματικές στην προσέγγισή τους.