网络安全公司 SentinelOne 揭露了勒索软件生态系统令人不安的演变，该公司发布了一份对 DragonForce 勒索软件团伙的深入分析报告，该团伙是最近对英国主要零售商（包括哈罗德百货、玛莎百货和合作社）发动协同攻击的威胁行为者。

DragonForce 的起源可以追溯到 2023 年 8 月的马来西亚，最初是一个亲巴勒斯坦的黑客行动组织。但正如 SentinelOne指出的那样：“随着时间的推移，他们的目标发生了变化和扩大……他们目前的行动重点是经济利益和勒索。”

该组织目前采用多重勒索模式，威胁受害者通过公共“RansomBay”泄密网站泄露数据并损害其声誉。

DragonForce 的攻击范围涵盖政府、商业以及具有政治象征意义的目标。过去的受害者包括：

檀香山OTS帕劳政府可口可乐新加坡俄亥俄州彩票养乐多澳大利亚

众所周知，他们主要针对律师事务所和医疗机构，最近又将攻击活动扩大到以色列、印度、沙特阿拉伯，尤其是英国的零售商。

SentinelOne 表示，英国袭击事件的某些组成部分可能与“The Com”威胁行为者集体有关，但该公司强调，这种归属尚无定论。

DragonForce 通常使用多种技术来进入系统：

• 网络钓鱼电子邮件
• 针对 RDP 服务的凭证填充
• 利用已知漏洞，包括：
  • CVE-2021-44228（Log4Shell）
  • CVE-2023-46805、CVE-2024-21887、CVE-2024-21893（Ivanti Connect 安全）
  • CVE-2024-21412（Windows SmartScreen 绕过）

一旦进入，攻击者就会利用 Cobalt Strike、mimikatz、SystemBC 和 PingCastle 等工具来提升权限并确保持久性。

DragonForce勒索软件最初是 LockBit 3.0/Black 的克隆版本，但后来不断演变。如今，该恶意软件是基于 Conti v3 代码库定制的，使用了 AES 加密算法，并且越来越多地使用 ChaCha8 加密算法。

会员可以通过基于 Web 的面板自定义有效载荷，修改：

• 文件扩展名和名称
• 执行延迟
• 加密范围和模式
• 忽略的文件/虚拟机
• 活动行为

SentinelOne 解释说：“目前，DragonForce 的附属机构可以构建 DragonForce 勒索软件的多种变体，以针对特定平台（包括 Windows、Linux、EXSi 和 NAS 专用加密器）进行定制。”

或许最令人担忧的进展是 DragonForce 已蜕变为一个成熟的“勒索软件即服务”集团。2025 年，该团伙推出了 RansomBay，一个泄密网站，其关联方可以发布被盗数据。DragonForce 声称将从勒索软件支付成功的款项中抽取 20% 的分成，而关联方则可获得 80% 的分成。

这项白标服务允许关联公司以独特的名称发起攻击，从而掩盖 DragonForce 的直接参与。这与 RansomHub 和 Dispossessor 的策略类似，表明 DragonForce 意图成为勒索软件地下经济的领军企业。