Die Ransomware-as-a-Service-Gruppe „Dragonforce“ hat besonders die Produktionsindustrie im Visier, gefolgt von IT. Deutschland zählt nach den USA und UK zu den am stärksten betroffenen Ländern. Details zu Dragonforce bietet dieser Beitrag.
Security: Die Ransomware-as-a-Service-Gruppe „Dragonforce“ hat besonders die Produktionsindustrie im Visier.
In seinem neuen Blogbeitrag veröffentlicht Trend Micro Erkenntnisse zu den Taktiken der Ransomware-as-a-Service-Gruppe „Dragonforce“. Während die Herkunft der Gruppe ungeklärt bleibt, zeichnet sich ihre rasante Entwicklung und ihr aggressives, auf Affiliates basierendes Modell bereits deutlich ab.
Dragonforce, eine wachsende Bedrohung
Die Herkunft der Ransomware-Gruppe Dragonforce bleibt ungeklärt. Offensichtlich jedoch sind ihre rasante Entwicklung und ihr aggressives, auf Affiliates basierendes Modell. Das macht sie zu einer aufstrebenden Bedrohung, die es zu beobachten gilt.
Dragonforce tauchte erstmals 2023 als Ransomware-as-a-Service-Gruppe (RaaS) auf und hatte bereits bemerkenswerte Veränderungen durchlaufen, bevor eine Angriffswelle ihr 2025 zu größerer Bekanntheit verhalf. Einige Berichte deuten darauf hin, dass sie Verbindungen zu einer älteren Hacktivisten-Gruppe mit Sitz in Malaysia hat, die sich auf RaaS verlegt hat, während andere behaupten, dass die Ransomware-Aktivitäten trotz des gleichen Namens eine völlig separate Einheit sind.
Taktiken von Dragonforce
Dragonforce (von Trend Micro als Water Tambanakua genannt) zeigt eine konstante Aktivität und ein klares Bestreben, den Einfluss unter den Partnern (Affiliates) auszuweiten. Die Taktiken der Gruppe deuten auf einen aggressiven und äußerst opportunistischen Ansatz hin. Ein Beispiel dafür ist die Verwendung von Mehrvarianten-Payloads, bei denen es sich um wiederverwendete Builder aus den Codebasen von LockBit und Conti handelt. So kann die Gruppe ihre Payloads schnell wechseln und erschwert somit der Verteidigung.
Außerdem setzt Dragonforce eine fortschrittlichere Umgehungstechnik ein, nämlich Bring Your Own Vulnerable Driver (BYOVD). Diese Technik ermöglicht es den Akteuren, Endpunkt-Sicherheitsmaßnahmen zu umgehen, indem sie legitime, aber anfällige Treiber ausnutzen – eine unter Ransomware-Betreibern relativ ungewöhnliche Taktik.
2023: Start der Aktivitäten
2023, zu Beginn seiner Ransomware-Aktivitäten, zielte Dragonforce mit einer Variante eines geleakten LockBit 3.0-Builders auf Unternehmen in kritischen Sektoren ab. Am 26. Juni 2024 startete die Gruppe ein Affiliate-Programm, das den Partnern 80 Prozent der Lösegeldsumme sowie Tools für das Angriffsmanagement und die Automatisierung anbot. Mit diesen Tools konnten Partner maßgeschneiderte Ransomware-Samples erstellen, darunter zur Deaktivierung von Sicherheitsfunktionen, die Einstellung von Verschlüsselungsparametern und die Personalisierung von Lösegeldforderungen.
Einen Monat später veröffentlichte Dragonforce eine eigene Variante der Ransomware, die angeblich auf Conti V3 basierte. Die Verwendung von geleakten LockBit- und Conti-Buildern deutet auf Verbindungen zu den Ökosystemen von Lockbit und Conti. Dragonforce ermöglicht es Affiliates, mehrere Varianten ihrer Ransomware mit Windows-, Linux-, EXSi- und NAS-spezifischen Verschlüsselungsprogrammen zu erstellen.
Im November 2024 entdeckte Trend Micro eine Linux-Variante der Ransomware.
2025: das Dragonforce-Ransomware-Kartell
Im März 2025 gaben sie ihre Umwandlung in das Dragonforce-Ransomware-Kartell bekannt. Das Kartell ermutigte die Partner dazu, sich von der Marke Dragonforce zu lösen und ihren eigenen Brand aufzubauen, wobei sie weiterhin die Tools und Ressourcen der Gruppe nutzen konnten. Diese Veränderung markiert eine bemerkenswerte Wende, auf die in den folgenden Monaten schnell weitere Entwicklungen folgten.
Etwa zur selben Zeit wurde Dragonforce auch mit Aktivitäten anderer RaaS-Gruppen in Verbindung gebracht. Es gab Verbindungen zu Angriffen von BlackLock und in der Folge auch von Mamona. Außerdem schien es zu Konflikten mit RansomHub zu kommen, dir im gleichen Zeitraum offline gegangen waren. Sicherheitsexperten, dass diese Verbindungen auf Rivalitäten oder eine einfache Konsolidierung von Ressourcen zurückzuführen sein könnten.
Die Gruppe wurde in Verbindung mit dem Angriff auf den britischen Einzelhandel im April gebracht, zusammen mit Scattered Spider (Octo Tempest) und der losen Gruppe von Bedrohungsakteuren „Com“. Im Juni 2025 identifizierten wir eine neue DevMan-Ransomware-Variante, die die Verbindung zwischen Dragonforce und Mamona (BlackLock) weiter zu unterstreichen scheint.
Im August 2025 führte die Gruppe einen „Datenanalysedienst“ ein, der Affiliates unterstützen und Opfer von Ransomware-/Datenleck-Angriffen zur Zahlung drängen soll. Der „Dienst“ fungiert als Risikoaudit sowohl der angegriffenen Organisation als auch der gestohlenen Daten und erstellt Materialien wie Skripte für Erpressungsanrufe, Entwürfe für Briefe an die Geschäftsleitung sowie pseudojuristische Analyse- und Beratungsberichte. Die Gebühren für diesen Dienst betragen bis zu 23 Prozent der Lösegeldzahlungen und richten sich speziell an Affiliates, die Organisationen mit einem Jahresumsatz von mindestens 15 Millionen US-Dollar ins Visier nehmen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Betroffene Länder, Branchen und Unternehmensgrößen
Die USA waren am stärksten von Dragonforce betroffen und lagen bei der Zahl der Opfer weit vor anderen Ländern. Weitere betroffene Länder sind Deutschland, Australien und Italien.
Dragonforce streut branchenbezogen seine Angriffe insgesamt breit. Dies zeigt das eher opportunistische Verhalten der Gruppe. Dieser Ansatz ist typisch für RaaS-Operationen mit starken Affiliates-Programmen. Da die meisten ihrer Opfer mit Infrastruktur und digitalen Diensten verbunden sind, deutet dies auf eine Strategie zur Maximierung der Störungen hin.
Während die Mehrheit der Opferorganisationen von Dragonforce kleine Unternehmen (171) waren, hat die Gruppe auch größere Ziele (36) nicht gescheut.
Sie interessieren sich für weitere Informationen zum Infektionsverlauf, Empfehlungen und Indicators of Compromise? Diese finden Sie in englisch auf der Website von Trend Micro. (mk)
:quality(80)/p7i.vogel.de/wcms/e6/72/e67279e23a3267a463edf3e3f55c8e81/0129260553v2.jpeg "Diese künstlerische Darstellung zeigt ein thermisches Analogrechengerät, das Berechnungen unter Verwendung von überschüssiger Wärme durchführt und in ein mikroelektronisches System eingebettet ist. (Bild: Jose-Luis Olivares, MIT)")
:quality(80)/p7i.vogel.de/wcms/51/96/51962a77f2a4b260373b39a489f53df9/0129137248v2.jpeg "Der britische Industrieminister Chris McDonald, MP, und Professor Allan Walton vom Birmingham Centre for Strategic Elements and Critical Materials. (Bild: University of Birmingham)")
:quality(80)/p7i.vogel.de/wcms/fe/aa/feaa985d4c194037beaf377300204a9a/0129027271v2.jpeg "Joseph von Fraunhofer brachte uns den Sternen näher. Er gilt als einer der Begründer der modernen Optik und es gelang, Teleskope in einer bis dahin unerreichten Qualität herzustellen. Im Jahr 1814 machte er seine bedeutendste Entdeckung, die später nach ihm benannt wurde – die Fraunhoferlinien. Diese ermöglichen es uns, einen genaueren Blick in den Weltraum zu werfen und zu verstehen, wie Sterne entstehen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6c/22/6c22d187c749f899845158057cb92ad1/0129224894v2.jpeg "Blick ins Quantenoptiklabor der Universität Stuttgart: Hier experimentieren Forscher mit neuen Photonenquellen für Quantencomputing und Quantennetzwerke. (Bild: Barz Group, Universität Stuttgart)")
:quality(80)/p7i.vogel.de/wcms/f5/51/f5516128b6a3176679f3291ef1f3c594/0129209328v2.jpeg "Agent BigEarth basiert auf einer neuartigen Kombination mehrerer KI-Module, die als spezialisierte Subagenten zusammenarbeiten. (Bild: BIFOLD)")
:quality(80)/p7i.vogel.de/wcms/40/32/4032d23b67ab8a52bf472277dc70a64f/0129074969v2.jpeg "Die WE-MPSB-Familie. (Bild: Würth Elektronik eiSos)")
:quality(80)/p7i.vogel.de/wcms/20/f6/20f65727ff461ea3d0b50fba948c0870/0129151989v2.jpeg "H200 NVL von Nvidia. Nachdem die Exportbeschränkungen der Technologie nach China seitens der USA aufgehoben wurden, hat die chinesische Regierung ersten einheimischen Unternehmen auch explizit den Einkauf der Technologie genehmigt. (Bild: Nvidia)")
:quality(80)/p7i.vogel.de/wcms/40/c3/40c3d215918e778db9eb6529c768b402/0129101565v2.jpeg "Schon heute ist die KI-Analyse zuverlässiger als die menschliche Auswertung. Der potenzielle Nutzen ist enorm – für das medizinische Fachpersonal ebenso wie für Patientinnen und Patienten. (Bild: GETEMED Medizin- und Informationstechnik)")
:quality(80)/p7i.vogel.de/wcms/4c/f0/4cf066b46a5fcfc430a2454a5e82e801/0129279386v1.jpeg "Der Entwickler des beliebten Open-Source-Texteditors Notepad++ hat bestätigt, dass Hacker die Software gekapert haben, um den Nutzern im Laufe mehrerer Monate im Jahr 2025 bösartige Updates zu liefern. Die Spur der Angreifer führt nach China. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ec/b6/ecb6affdf25f64050b0e7f4945b4e073/0129059153v2.jpeg "Bild 1: Vorbereitung auf den Cyber Resilience Act. Bis Dezember 2027 müssen Gerätehersteller eine Reihe von Maßnahmen verbindlich umgesetzt haben. (Bild: Microchip)")
:quality(80)/p7i.vogel.de/wcms/15/73/1573bb05ef0a53c3b4a9473f9b4397f6/0128933070v2.jpeg "Vector Code Testing stärkt sein Produktportfolio mit der RocqStat-Technologie von StatInf für die Timing-Analyse. (Bild: Vector Informatik GmbH)")
:quality(80)/p7i.vogel.de/wcms/4e/f2/4ef224fde728985d8b9630eb0fa37909/0129293948v3.jpeg "Der EPC2366 (Bild: Efficient Power Conversion)")
:quality(80)/p7i.vogel.de/wcms/3f/0d/3f0d634d8c172031474c341b3a2b725e/0129262158v2.jpeg "Das Stannol Tacky-Gel TG6000. (Bild: Stannol GmbH & Co. KG)")
:quality(80)/p7i.vogel.de/wcms/66/0c/660c31afa35398bac9be42f2be73fdc4/0129073529v2.jpeg "FPGAs lösen Performance-Engpässe, gelten aber in der Programmierung als schwer zugänglich. Die universelle Programmiersprache Livt soll die Hürde senken – korrekt, deterministisch und HDL-kompatibel. (Bild: Toby Giessen / VCG)")
:quality(80)/p7i.vogel.de/wcms/9c/35/9c35ed04fa562b190cbc496a695a6802/0128823288v1.jpeg "Optimiert auf Skalierung oder Geschwindigkeit: Die SGET hat den offenen Standard oHFM für FPGA-Module in zwei Varianten vorgestellt. (Bild: SGET (Screencast / Screenshot))")
:quality(80)/p7i.vogel.de/wcms/d7/e6/d7e6fe4124ec2efc726e9c3f2c2a4cfc/0128241940v2.jpeg "(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/7d/68/7d68aecf780e15057f14df63731fb935/0127934402v3.jpeg "Neue, intelligente Tools helfen dabei, die zunehmende Komplexität der Hardwareentwicklung auf Basis von FPGAs und ASICs zu bewältigen. Eine zentrale Rolle können hierbei domänenspezifische Sprachen spielen, die eine nahtlose Kommunikation zwischen Softwarekomponenten und FPGA-Logik ermöglichen. (Bild: Tobias Giessen / VCG)")
:quality(80)/p7i.vogel.de/wcms/9b/c1/9bc1caaaf2b30471c3d187069d2d8e4b/0129101585v2.jpeg "Künstliche Intelligenz kann beim Chipdesign helfend unter die Arme greifen. Wie das gelingen kann, beleuchtet die 4. Fachtagung Chip-Entwicklung des Fraunhofer IIS. (Bild: frei lizenziert / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/af/a5/afa55c840e96feccf31866821f1a0dd6/0129005497v2.jpeg "3D-IC-Technologien treiben die Halbleiterinnovation voran. Entscheidend ist dabei die präzise Analyse von Signal- und Leistungsintegrität. (Bild: Siemens EDA)")
:quality(80)/p7i.vogel.de/wcms/9a/51/9a5199a5ad49e895b4aef7e04fe629e2/0129255110v2.jpeg "Der Vector Network Analyzer CMT A2202 deckt Frequenzen bis 22 GHz ab. (Bild: Telemeter)")
:quality(80)/p7i.vogel.de/wcms/d9/d6/d9d68c274ac9c3c728978fac46c773ba/0129239468v2.jpeg "Mit dem Spektrumanalysator R&S FPL1044 bringt Rohde & Schwarz das Ka-Band in die Mittelklasse. (Bild: Rohde & Schwarz)")
:quality(80)/p7i.vogel.de/wcms/c3/53/c35394add74d23226fbd5c65833c0774/0129209052v2.jpeg "Künstliche Intelligenz hilft in der Qualitätssicherung dabei, Prüfprogramme automatisch zu erstellen. Dadurch werden der manuelle Aufwand und die Rüstzeiten nahezu vollständig eliminiert. (Bild: Viscom)")
:quality(80)/p7i.vogel.de/wcms/28/13/281318524d236feca2118e358cfda889/0129146156v2.jpeg "Echtzeit-Satellitenüberwachungssysteme: Hochgeschwindigkeits-Digitalisierung und Edge-Verarbeitung ermöglichen eine skalierbare Satellitensignalüberwachung über mehrere Frequenzbänder hinweg. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/63/9e/639e76b1a5edc6cb79a45b63aefadcfd/0129234417v2.jpeg "Vernetzte Entwicklung: Im neuen Industrial Application Center in Dresden arbeiten Anwender und Experten Hand in Hand an der Automatisierung von morgen. (Bild: SMC Deutschland)")
:quality(80)/p7i.vogel.de/wcms/0c/57/0c57cee9533d090c98061b4352d1103d/0129219561v2.jpeg "Erweiterte S-Serie: Die neuen Cobot-Modelle von Omron heben bis zu 30 Kilogramm und sind dank Schutzart IP65 nun auch gegen Staub und Wasser geschützt. (Bild: Omron)")
:quality(80)/p7i.vogel.de/wcms/ae/9a/ae9ad13f67e6dff52d1f20698c0edb64/0129210301v2.jpeg "Spectra Rack 2000: Kompakte 2HE-Bauform. (Bild: Spectra)")
:quality(80)/p7i.vogel.de/wcms/77/63/7763e7594298c2196be199e8979860be/0129253081v2.jpeg "Die SMD-Schablonen der Produktlinie Basic Plus von Photocad sind künftig innerhalb von sechs Stunden fertig. (Bild: Photocad)")
:quality(80)/p7i.vogel.de/wcms/5f/54/5f545ab3a8bf940444930f98c9db8255/0129304670v2.jpeg "Leiterplatten sind das Rückgrat der Elektronik. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/71/5a/715a5706e4258445899c02dca5db0c42/0129274772v2.jpeg "AMS Osram veräußert das nicht-optische Analog-/Mixed-Signal-Sensorgeschäft für Automotive, Industrie und Medizin als Teil eines Bargeschäfts an Infineon. (Bild: AMS Osram)")
:quality(80)/p7i.vogel.de/wcms/9d/6d/9d6d98dea8ab2337b21b11f79dafdd9a/0129189530v2.jpeg "Der Stand von ASMPT auf der productronica 2025. (Bild: Messe München)")
:quality(80)/p7i.vogel.de/wcms/69/1f/691f39ba12be3cad90eb88bdabc456a6/0127321404v2.jpeg "Das Kreativteam Christian Göller, GreatScott! und Christopher Becht (v. l. n. r.): erfolgreiches Creator-Marketing im B2B-Sektor (Bild: Würth Elektronik)")
:quality(80)/p7i.vogel.de/wcms/6a/cc/6acc4f803241cfe5b6d60560c0a2b4d9/0126684948v2.jpeg "In der Altersgruppe 25 bis 64 verfügen 34 Prozent der Deutschen über einen tertiären Abschluss im MINT-Bereich. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ef/aa/efaae5a25fb0a4c55c434611033447af/0126532350v2.jpeg "Die jährliche Back-to-School-Aktion von Digikey mit Preisen für Studierende ist gestartet. (Bild: Digikey)")
:fill(fff,0)/p7i.vogel.de/companies/60/81/6081635146580/odu-logo-ohne-rgb.jpg "ODU_Logo_ohne_RGB.jpg (www.odu.de)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/76800/76895/65.jpg "FAULHABER_120mm.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/62/6f/626f9753a3e5a/a-category-images-970x300-logo.jpeg "a-category-images-970x300-logo (Treston)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/8b/f6/8bf6518138fae83466076f4e027ec4db/0127925852v2.jpeg "Mic-E-Mouse: ermöglicht eine akustische Überwachung durch leistungsstarke optische Sensoren. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f3/95/f3957644e72698650764b22790e9ba0c/0127809558v2.jpeg "Security: Hacker nutzen vermehrt Zulieferer als Einfallstor. (Bild: Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/db/e4/dbe4779a17455959e0ff82dc0983d1b3/0123497787v3.jpeg "Die USA werden künftig wohl weniger scharf gegen Cyberkriminelle, die von Russland gefördert werden, vorgehen. (Bild: ANDREY PROFOTO - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/c5/24c5c7263fd152c070d2aa293e83a74b/0127519976v2.jpeg "Mit Graphtechnik und digitalen Zwilling denken die Verteidiger eines komplexen Netzwerks ebenso vernetzt wie die möglichen Angreifer. (Bild: frei lizenziert)")