La escena del ransomware está experimentando una transformación profunda en 2025. Un grupo conocido como DragonForce está liderando esta reorganización al construir lo que ellos mismos denominan un «cártel de ransomware», un modelo que busca agrupar diversas operaciones bajo una estructura unificada, optimizando recursos y maximizando beneficios para todos los actores involucrados.
DragonForce ha creado un modelo de afiliación distribuida en el que otros operadores de ransomware como servicio (RaaS) pueden participar sin tener que invertir en el costoso y complejo mantenimiento de su propia infraestructura. Esta nueva estrategia ofrece a los afiliados acceso a herramientas de ataque, sistemas de negociación de rescates, almacenamiento de datos robados y gestión de malware, todo bajo una misma plataforma.
Un portavoz de DragonForce comentó a BleepingComputer que su motivación es «puramente financiera». Sin embargo, también afirmó seguir una brújula moral, mostrando supuesta empatía hacia ciertos sectores como el de la atención médica, aunque esta «ética criminal» sigue siendo altamente cuestionable.
¿Cómo funciona el modelo de cártel de ransomware de DragonForce?
En los esquemas tradicionales de ransomware como servicio (RaaS), los desarrolladores crean el malware, proporcionan la infraestructura de soporte y gestionan los sitios de fuga de datos (DLS) donde se publican archivos robados si la víctima no paga el rescate. A cambio, cobran a los afiliados una comisión, que puede alcanzar hasta el 30% de los pagos recibidos.
DragonForce propone una estructura ligeramente diferente:
-
Cobra solo el 20% del rescate pagado.
-
Permite a los afiliados operar bajo su propia marca o utilizar directamente la marca DragonForce.
-
Facilita infraestructura lista para usar, incluyendo herramientas de negociación, servidores seguros para almacenamiento de datos robados y sistemas de despliegue de malware.
Este enfoque reduce significativamente las barreras de entrada para nuevos actores y ofrece a los grupos de amenazas existentes una manera más eficiente de ejecutar ataques a gran escala.
DragonForce anunció esta nueva dirección en marzo de 2025, invitando a los afiliados a crear sus propias «marcas ilimitadas» que pueden atacar sistemas ESXi, NAS, BSD y Windows.
Un mercado criminal con reglas estrictas
El modelo de DragonForce se basa en una estructura de mercado donde los afiliados pueden elegir entre usar la marca DragonForce o una marca personalizada. Esta flexibilidad permite que incluso actores menos experimentados puedan lanzar campañas sofisticadas sin el conocimiento técnico necesario para desarrollar malware o administrar negociaciones de rescate.
No obstante, DragonForce impone reglas estrictas para sus afiliados. Según su representante, el grupo expulsa inmediatamente a quienes violan las normas. Controlan la operación centralizada en sus servidores, lo que les permite monitorear el cumplimiento de las reglas impuestas.
Aunque las reglas específicas no son públicas, se sabe que existen ciertos límites éticos autoimpuestos, especialmente en relación con ataques a hospitales.
DragonForce anuncia un modelo RaaS similar a SaaSfuente: Secureworks
La supuesta «moralidad» de DragonForce
Cuando se les preguntó sobre su postura hacia los hospitales y organizaciones de atención médica, DragonForce mostró una actitud ambigua. Declararon que evitan atacar hospitales que traten pacientes con cáncer o problemas cardíacos.
Uno de sus miembros comentó:
«Preferimos enviar dinero a esas personas para ayudarlas. No estamos aquí para matar, sino para hacer negocios.»
Este enfoque, aunque pretende mostrar cierta humanidad, no elimina el hecho de que DragonForce sigue siendo un actor criminal responsable de numerosos ciberataques que afectan la seguridad y privacidad de empresas y usuarios en todo el mundo.
Impacto del nuevo modelo en la ciberseguridad
Según analistas de la empresa de ciberseguridad Secureworks, el modelo de DragonForce podría atraer a una amplia gama de afiliados, incluidos actores de amenazas menos técnicos. Incluso los grupos más sofisticados podrían apreciar la posibilidad de utilizar su propio malware sin preocuparse por la infraestructura subyacente.
Este crecimiento potencial de la base de afiliados aumenta el riesgo de que más organizaciones sean blanco de ataques de ransomware, incrementando tanto la frecuencia como la sofisticación de las amenazas.
Secureworks destaca que, al facilitar el acceso y la operación del ransomware, DragonForce podría impulsar un aumento significativo de ataques en múltiples sectores económicos.
¿Cuántos afiliados tiene DragonForce?
Aunque no se conoce el número exacto de afiliados que ya forman parte del cártel DragonForce, el grupo afirma que pandillas de ransomware reconocidas han mostrado interés en su modelo.
Un representante de DragonForce dijo:
«No podemos revelar cifras exactas, pero varios jugadores conocidos se han acercado a nosotros para cooperar.»
Esto sugiere que el impacto de este nuevo cártel podría ser mayor de lo que inicialmente se pensaba, consolidando a DragonForce como un actor central en la evolución del ransomware en 2025.
En conclusión, el surgimiento de DragonForce como un cártel de ransomware marca una evolución preocupante en la economía criminal del cibercrimen. Al ofrecer un modelo de negocio accesible, flexible y altamente rentable, DragonForce está democratizando el acceso al ransomware, incrementando los riesgos para empresas de todos los tamaños y sectores.
En un contexto donde las amenazas evolucionan rápidamente, resulta imprescindible reforzar las defensas de ciberseguridad, implementar políticas de backup robustas, educar al personal y, sobre todo, mantenerse actualizado sobre las nuevas tendencias criminales como la propuesta por DragonForce.
Fuente: Bleeping Computer
