O Cartel DragonForce Surge como uma Ameaça de Ransomware Derivada do Conti

Uma nova operação de ransomware baseada em Código-fonte vazado de Conti surgiu com ambições semelhantes a cartéis no ecossistema do crime cibernético.

O grupo DragonForce, que mantém o comportamento de criptografia principal do Conti e os recursos de disseminação de rede, começou a realizar ataques coordenados e recrutar afiliados usando uma plataforma compartilhada.

Recentemente, DragonForce mudou de um padrão Modelo de ransomware como serviço a uma estrutura de cartel autodenominada que incentiva os afiliados a criar variantes de marca. Essa evolução foi destacada por amostras recentes que mostram grupos como Devman implantando ransomware compilado com o construtor do DragonForce.

De acordo com os pesquisadores da Acronis Threat Research Unit (TRU), o DragonForce usa a mesma combinação de criptografia ChaCha20 e RSA encontrados em Conti, gerando uma chave exclusiva por arquivo e anexando um bloco de metadados de 10 bytes que codifica o modo de criptografia, a porcentagem e o tamanho.

Os operadores continuaram as campanhas ativas, ameaçando excluir descriptografadores e vazar dados em 2 e 22 de setembro.

Características técnicas

O DragonForce criptografa o armazenamento local e os compartilhamentos de rede via SMB (Server Message Block). A Acronis documentou rotinas inalteradas no estilo Conti ao lado de um sistema de configuração oculto que substitui os parâmetros de linha de comando visíveis.

O ransomware suporta vários modos de criptografia:

Modo completo (0x24)
Parcial (0x25)
Somente cabeçalho (0x26)

Rede de afiliados em crescimento

O surgimento de Devman ilustra o modelo de recrutamento da DragonForce. O grupo inicialmente implantou uma variante baseada em Mamona antes de mudar para uma cepa construída pela DragonForce com formatação de nota de resgate quase idêntica.

O momento sugere que Devman testou pela primeira vez a marca sob o Mamona, um projeto ligado às operadoras por trás Eldorado e BlackLock, depois mudou-se para o ecossistema DragonForce para alavancar suas ferramentas e infraestrutura.

DragonForce também se alinhou com Aranha Dispersa, um grupo conhecido por operações de acesso inicial ligadas ao BlackCat, Ransomhub e Qilin. Essa parceria atraiu escrutínio após um incidente que afetou o varejista do Reino Unido Marcas & Spencer, que os pesquisadores atribuem à atividade cooperativa DragonForce-Scattered Spider logo após DragonForce ser rebatizado como um “cartel”.

Táticas agressivas e defesa

O grupo tem perseguido táticas agressivas de dominância, desfigurando o site de vazamento do BlackLock e tentando assumir o controle dos servidores do Ransomhub. Essa pressão pode ter forçado algumas afiliadas da Ransomhub a migrar para rivais como Qilin e DragonForce.

“Ao se renomear como um ‘cartel’, a DragonForce pretendia fortalecer sua influência e alianças no cenário de ransomware, provando seu domínio ao desfigurar ou assumir o controle da infraestrutura de grupos rivais”, disse Acronis.

Para se defender contra ameaças de ransomware, os especialistas em segurança aconselham as organizações a implementar práticas robustas de backup, restringir o movimento lateral por meio da segmentação de rede e monitorar o acesso incomum a recursos compartilhados.

Além disso, patches consistentes, proteção de endpoint e treinamento de conscientização do usuário continuam sendo as principais camadas de defesa contra atores motivados financeiramente que buscam explorar lacunas em ambientes corporativos.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology: “LLMs” is the correct English acronym for Large Language Models.