No contento con atacar a los minoristas, y según reveló Sophos, este agresivo grupo está librando una guerra territorial con otros operadores de Ransomware
Sophos ha estado siguiendo de cerca al grupo de Ransomware conocido como DragonForce, y presentó nuevos antecedentes, concluyendo que más que una marca que se dedica al secuestro de datos, es una fuerza desestabilizadora que intenta remodelar el panorama de esta forma de ataque.
Conociendo al “Dragón”
Los investigadores de la Counter Threat Unit (CTU) de Sophos están siguiendo de cerca la evolución de la amenaza, explicando que DragonForce participa en ataques de gran impacto dirigidos tanto a la infraestructura informática tradicional como a entornos virtualizados (por ejemplo, VMware ESXi), con un fuerte énfasis en el robo de credenciales, el abuso de Active Directory y la exfiltración de datos. En marzo de 2025, lanzó una iniciativa para reclamar el dominio del ecosistema del Ransomware mediante la introducción de un modelo de afiliación más flexible y atacando a otros grupos que se dedican a este ciberdelito.
Una serie de ataques contra minoristas del Reino Unido que comenzaron a finales de abril pusieron a este grupo en el punto de mira, ya que informes de terceros relacionaron estos ataques con DragonForce y el grupo de amenazas GOLD HARVEST (también conocido como Scattered Spider). GOLD HARVEST utiliza con frecuencia ingeniería social, abuso de herramientas de supervisión y gestión remota (RMM) y técnicas de elusión de la autenticación multifactorial (MFA) para obtener acceso, robar datos masivos y, en ocasiones, desplegar Ransomware.
Ahora busca ser un cártel
Cuando DragonForce apareció en agosto de 2023, ofrecía un esquema de Ransomware como servicio (RaaS) tradicional. Pero el 19 de marzo de este año, el grupo anunció un cambio de marca para convertirse en un «cártel» con el fin de ampliar su alcance, con la esperanza de emular el éxito de LockBit y otros grupos maduros de RaaS. En la práctica, no se trata de una operación de cártel, sino de una oferta que da a los afiliados la flexibilidad de aprovechar la infraestructura y las herramientas de Ransomware de DragonForce mientras operan bajo sus propias marcas.
Otra de las conclusiones de los investigadores de Sophos es que existe una interacción cada vez mayor entre la ingeniería social y las credenciales robadas. GOLD HARVEST es conocido por emplear infostealers comerciales como Vidar y Raccoon, que recopilan contraseñas, cookies y tokens de sesión guardados en el navegador. Estas credenciales pueden permitir el acceso inicial directo o respaldar intentos de ingeniería social más convincentes al permitir a los atacantes hacer referencia a sistemas internos o imitar el comportamiento legítimo de los empleados.
Consejos para los defensores
Aunque los controles técnicos siguen siendo esenciales para detectar y mitigar la actividad de GOLD HARVEST y DragonForce, deben reforzarse con procesos internos sólidos y una vigilancia humana constante. Estos ataques refuerzan la idea de que las vulnerabilidades técnicas suelen comenzar con vulnerabilidades sociales. Las conversaciones son a menudo el punto de partida, no los exploits. Las organizaciones deben reducir su exposición a la ingeniería social combinando controles técnicos con disciplina procedimental. Los investigadores de CTU de Sophos recomiendan que las organizaciones tomen las siguientes medidas para mitigar los riesgos de estos ataques:
- Implementar el aislamiento del navegador y los gestores de contraseñas para evitar la recolección de credenciales guardadas.
- Activar la detección de endpoints para la actividad de infostealers, incluido el robo de credenciales y cookies de sesión.
- Utilizar una solución de supervisión de identidades que utilice fuentes de la dark web y feeds de inteligencia sobre amenazas para supervisar continuamente las credenciales comprometidas.
- Aplicar protocolos estrictos de verificación de identidades para el soporte de TI y las interacciones con el servicio de asistencia.
- Establecer vías de escalado claras para capacitar al personal de primera línea, y resista las solicitudes inusuales o urgentes hasta que puedan verificarse.
- Realizar ejercicios de simulación periódicos que simulen escenarios de ingeniería social y amenazas internas.