PRAHA – 24. května 2025 – Rok 2025 přináší další vývoj vyděračských hrozeb, ale také jejich fragmentaci a decentralizaci. Jednou z nejnebezpečnějších skupin je DragonForce. Poprvé se objevila v prosinci 2023, kdy spustila darkwebový portál DragonLeaks, na kterém informuje o svých obětech a hrozí zveřejněním ukradených informací. Původ skupiny pravděpodobně souvisí se známou hacktivistickou skupinou DragonForce Malaysia, ale na rozdíl od ní se zaměřuje na zisk a finančně motivované útoky. Jedná se o novou éru hybridních hrozeb, které jsou ideologicky nevyhraněné, technologicky velmi vyspělé, agilní a extrémně oportunistické.
„Můžeme dokonce říci, že skupina DragonForce se vyvinula v ransomwarový kartel s velmi inovativním obchodním modelem, který láká nové partnery i spolupracovníky jiných ransomwarových gangů. Svým partnerům nabízí nižší provizi než řada jiných ransomwarů jako služba, ale partneři zase mohou vytvářet vlastní ransomwarové značky nebo přizpůsobovat žádosti o výkupné. V řadě věcí mají tedy určitou volnost, což nebývá zvykem,“ upozorňuje Pavel Krejčí, Security Engineer z kyberbezpečnostní společnosti Check Point Software Technologies. „DragonForce svým partnerům zároveň nabízí špičkovou infrastrukturu, přístup k nástrojům pro vyjednávání o výkupném, šifrované úložiště a šablony vyděračských webů pod značkou RansomBay, na kterých je možné zveřejňovat ukradená data a vytvářet tím na oběti další tlak.“
V dubnu za nejasných okolností skončila silná ransomwarová skupina RansomHub a situace rychle využil právě DragonForce. Odlákal mnoho zákazníků a prezentoval se jako agilní alternativa k velkým a dobře známým vyděračským skupinám, které se ale potýkají s řadou problémů. Důvěra ve známé značky ransomwaru jako služba upadá, což je příležitost pro DragonForce, který nabízí anonymitu, flexibilitu a ziskovost.
Stále více skupin se místo šifrování zaměřuje na vydírání pomocí ukradených dat, protože takové operace jsou jednodušší a rychleji zpeněžitelné. Potvrzují to i agresivní útoky skupiny DragonForce na britské obchody během dubna a května. Útoky vyvolaly několikadenní výpadky e-commerce platforem, věrnostních programů a interních operací a byly primárně zaměřené na získání velkého množství cenných dat.
DragonForce ale není jediný, kdo se přizpůsobuje. Po rozbití skupin LockBit a ALPHV se ransomwarový ekosystém fragmentoval. RansomHub krátce zaplnil vakuum, ale v dubnu zmizel. O jeho partnery nyní soupeří desítky středních skupin, včetně skupin Akira, Medusa a Play. Loajalita partnerů je nízká a obchodní modely ransomwarových gangů jsou stále agresivnější, mnoho z nich nabízí rozdělení výnosů v poměru 80/20 a nulové počáteční náklady. DragonForce ovšem vyniká spojením jednoduchosti platformy s dalšími výhodami, včetně vlastní identity.
Check Point také upozorňuje na znepokojivý trend: zvýšené využívání AI při vývoji malwaru a jeho šíření. Sociální inženýrství je stále rafinovanější a dochází k manipulaci oběťmi pomocí deepfake videí a hlasových podvrhů. AI technologie jsou používané i k vytváření vícejazyčných kampaní nebo k podvodům s pomocí volajících botů. To vše urychluje profesionalizaci ransomwarových operací a exponenciálně ztěžuje ochranu.
Ransomware jako kartel, zločin jako značka
DragonForce není jen ransomwarová skupina – je to marketingová strategie, obchodní model a ekosystém v jednom. Proto je mnohem nebezpečnější než většina ostatních skupin.
„Jeho úspěch nespočívá v technické vyspělosti, ale ve zpřístupnění kyberzločinu i lidem bez technických znalostí. V poskytování útočiště bývalým partnerům jiných skupin a možnosti budovat vlastní značku. Budoucnost ransomwaru je decentralizovaná, automatizovaná a znepokojivě dostupná. A DragonForce je průkopníkem,“ dodává Pavel Krejčí.
Pokud se chtějí organizace chránit před ransomwarovými kartely, imitacemi známých značek a AI hrozbami, musí se zaměřit na preventivní bezpečnostní řešení využívající umělou inteligenci.
Sledujte novinky o bezpečnostním týmu Check Point Research:
Blog: https://research.checkpoint.com/
X: https://twitter.com/_cpresearch_
Sledujte novinky o společnosti Check Point Software Technologies:
X: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.
