نشرت شركة الأمن السيبراني S2W دراسة موسعة حول مجموعة DragonForce، وهي جماعة برمجيات فدية نشطة منذ ديسمبر 2023 تعمل وفق نموذج Ransomware-as-a-Service (RaaS)، وتسوّق نفسها كـ “كارتل” بهدف توسيع نفوذها داخل النظام الإجرامي الرقمي. المجموعة نفذت هجمات ضد 363 شركة بين ديسمبر 2023 ويناير 2026، كما أقامت علاقات مع مجموعات بارزة مثل LockBit وQilin.
نموذج عمل DragonForce
تتبنى المجموعة نموذج الخدمة الإجرامية عبر الإنترنت، حيث توفر أدوات وبيئات تشغيل لمهاجمين آخرين مقابل نسبة من الأرباح. ولتعزيز هذا النموذج، أطلقت خدمة RansomBay التي تتيح للشركاء توليد حمولة خبيثة مخصصة وتكوين خيارات متعددة تناسب أهدافهم. هذا النهج يجعلها جذابة للمهاجمين الأقل خبرة، ويوفر لهم منصة جاهزة لتنفيذ هجمات معقدة دون الحاجة إلى تطوير أدواتهم الخاصة.
النشاط على منتديات الإنترنت المظلم
تسعى DragonForce إلى تعزيز حضورها عبر الترويج لنشاطها في منتديات الإنترنت المظلم مثل BreachForums وRAMP وExploit، حيث تعرض خدماتها وتستقطب مختبرين اختراق (Pentesters) للانضمام إلى عملياتها. هذا النشاط العلني يعكس رغبة المجموعة في بناء صورة “كارتل” منظم، وليس مجرد مجموعة تقليدية من مطوري البرمجيات الخبيثة.
توسع العمليات والعلاقات مع مجموعات أخرى
وفقاً لـ S2W، فإن DragonForce لا تكتفي بتنفيذ هجمات ضد المؤسسات، بل توسع نطاقها عبر مهاجمة مجموعات أخرى أو الدخول في علاقات تعاون معها، في محاولة لتعزيز مكانتها داخل منظومة البرمجيات الفدية. هذا السلوك يعكس استراتيجية مزدوجة: المنافسة المباشرة مع بعض المجموعات، والتعاون مع أخرى لتحقيق مصالح مشتركة.
