في عالم الجرائم الإلكترونية، تظهر عصابة DragonForce كقوة متنامية، مستلهمة من استراتيجيات الكارتلات التقليدية.
يبدو أن مشغلي DragonForce، وهي مجموعة تقدم خدمة الفدية كخدمة والتي ظهرت لأول مرة في عام 2023، يستلهمون بشكل كبير من كتاب الجريمة المنظم، حيث يقومون بإنشاء كارتل ويحاولون جلب تنظيم إقليمي على غرار المافيا — وبعض القوة — إلى نظام فدية.
أظهر تحليل مفصل من LevelBlue أن المجموعة قد غيرت مؤخرًا نموذج أعمالها إلى نموذج يمكن للعملاء — أو الشركاء — لخدماتها إنشاء علاماتهم التجارية الخاصة بينما لا يزالون يعملون تحت مظلة كارتل DragonForce المتنامي.
كارتل متنامٍ
يمكن للمجموعات الأعضاء العمل بشكل مستقل مع الوصول إلى موارد وخدمات DragonForce الكبيرة، والتي تشمل بيتابايت من التخزين، ومراقبة الخوادم على مدار الساعة، وتحليل الملفات الاحترافي وخدمات فك التشفير، وحتى المساعدة في إجراء تجارب واختبارات للهجمات.
فائدة إضافية لكونك عضوًا في الكارتل هي خدمة “تدقيق بيانات الشركة” من DragonForce التي تساعد الشركاء على تقييم قيمة أي بيانات قد سرقوها أو شفرواها في هجوم فدية، حتى يعرفوا بالضبط مقدار الضغط الذي يجب أن يمارسوه على الضحايا.
“يتضمن التدقيق تقرير مخاطر مفصل، ومواد اتصال معدة مسبقًا، مثل نصوص المكالمات ورسائل على مستوى التنفيذيين، وإرشادات استراتيجية مصممة للتأثير على المفاوضات،” قال باحثو LevelBlue مارك تسيربشتاين وإيفغيني أنانين في تقرير هذا الأسبوع.
أحد الأمثلة التي ذكرها باحثو LevelBlue كان خرق شركة تعدين حيث كشفت الصور الفضائية المسروقة عن مواقع رواسب المعادن الحساسة التي حددتها الشركة الضحية. “يعكس ذلك تحولًا نحو الابتزاز المدفوع بالمعلومات، حيث يستثمر المهاجمون في تحليل البيانات، والرسائل المخصصة، واستراتيجية التفاوض لتعظيم نتائج الفدية، مما يعكس ممارسات الاستشارة والتقييم المخاطر الشرعية.”
تهديد يجب أخذه بعين الاعتبار
أنشأت DragonForce نفسها كلاعب رئيسي نسبيًا في نظام الفدية منذ بدء أنشطتها في عام 2023. على الرغم من أنها ليست كبيرة مثل المنافسين مثل Akira وQilin، إلا أنها جذبت بعض الانتباه بسبب تسويقها العدواني وتواصلها. اعتبارًا من يوليو 2025، كانت الشركة قد سجلت على الأقل 250 ضحية بناءً على موقع تسريب بياناتها، وفقًا لأبحاث Check Point.
مثل أي عملية مافيا طموحة، قام مشغلو DragonForce بمضايقة المنافسين، وتخريب الموقع الرئيسي لتسريب المنافس BlackLock، وحاولوا إقناع شركاء RansomHub بأن عملية الفدية كخدمة قد انضمت إلى الكارتل. انتهت تلك الحيلة باتهام RansomHub علنًا DragonForce بالعمل مع جهاز الأمن الفيدرالي الروسي (FSB) لتخريب مجموعات الفدية المنافسة.
لكن في اقتراح مباشر من “الأب الروحي”، دعت DragonForce إلى التعاون بين عمليات الفدية الرئيسية، بما في ذلك LockBit وQilin، ostensibly لت” stabilizing the ransomware ‘market,’ increase collective profits, and present a unified front,” كتب باحثو LevelBlue. شمل عرض DragonForce توحيد الظروف التنافسية، والقضاء على النزاعات العامة بين المجموعات، والاتفاق على شروط متساوية للشركاء، خاصة فيما يتعلق بمتطلبات الإيداع وتقاسم الأرباح.
اتجاه مقلق
بالنسبة لفرق أمان المؤسسات، فإن أي تحول من قبل مجموعات الجرائم الإلكترونية نحو التنسيق والتعاون — بدلاً من المنافسة — هو أمر مقلق. تتيح الكارتلات والمنظمات الإقليمية مثل ما تحاول DragonForce تعزيزها للمجرمين الإلكترونيين تجميع الموارد، ومشاركة المعلومات الاستخباراتية، وتوحيد الأساليب، والقضاء على عدم الكفاءة. يمكن أن يكون من الصعب الدفاع ضدها بشكل كبير لأن التكتيكات الدفاعية التي قد تنجح ضد عضو واحد تصبح معروفة بسرعة عبر الكارتل بأكمله.
من منظور خدمة الفدية كخدمة (RaaS) نفسها، تقدم DragonForce للشركاء مجموعة كاملة من الخدمات، بما في ذلك نماذج التشفير التي تسمح لهم بإجراء تشفير جزئي وكامل للبيانات عبر أنظمة التشغيل Windows وLinux وESXi وغيرها. يمكن للعملاء الاختيار من بين عدة أوضاع تشفير قابلة للتخصيص تتميز بقدرات التنفيذ المتأخر والتعددية لتحقيق أداء أسرع. كشف التحليل الفني من LevelBlue لبرمجيات الفدية الخاصة بـ DragonForce عن تداخل مع شفرة مصدر الفدية المسربة من Conti، بما في ذلك ميزات مثل حذف النسخ الاحتياطية من البيانات المشفرة، ومسح منافذ SMB لتحديد الأهداف، واستخدام التعددية لتسريع التشفير.
لتسهيل الأمور على الأعضاء الجدد للتسجيل، أطلقت DragonForce مؤخرًا نظامًا آليًا يسمح للراغبين في الانضمام إلى RaaS بالتسجيل دون أي من التحقق أو الودائع الأولية التي تتطلبها مشغلات RaaS الأخرى غالبًا.
استنادًا إلى ضحاياها حتى الآن، تمثل DragonForce أكبر تهديد للمنظمات في مجالات التصنيع والتكنولوجيا وخدمات الأعمال والبناء في الولايات المتحدة والمملكة المتحدة وإيطاليا وألمانيا وأستراليا.
مع استمرار تطور أساليبهم، يجب على المؤسسات أن تكون أكثر يقظة وأن تتبنى استراتيجيات أمان متطورة لمواجهة هذا التهديد المتزايد.
