Wprowadzenie do problemu / definicja luki
30 listopada 2025 r. na portalu agregującym wycieki pojawiła się karta ofiary Division 10 Inc. (Memphis, Tennessee) przypisana do grupy DragonForce. Wpis wskazuje datę wykrycia i szacowaną datę ataku jako 30.11.2025 oraz zawiera metadane DNS domeny firmy. To typowy schemat „naming & shaming”, którego celem jest presja na zapłatę okupu po eksfiltracji danych.
W skrócie
- Sprawca: DragonForce – rosnący „cartel” RaaS (Ransomware-as-a-Service) aktywny od końca 2023 r., działający w modelu afiliacyjnym i „white-label”.
- Ofiara: Division 10 Inc. (USA), sektor dostaw wyposażenia budowlanego. Wpis w serwisie wyciekowym z 30.11.2025.
- Kontekst: TTPs DragonForce bywają łączone z działalnością operatorów Scattered Spider, według wspólnego alertu CISA i partnerów.
- Ryzyko: przerwy operacyjne, wtórne ataki na partnerów w łańcuchu dostaw, szantaż publikacją danych, możliwa podwójna (a nawet potrójna) ekstorsja. Przykłady wpływu na handel detaliczny pokazały głośne incydenty 2025 r. (np. M&S).
Kontekst / historia / powiązania
DragonForce ewoluował z klasycznej grupy ransomware do „kartelu” RaaS: rekrutuje afiliantów, oferuje brandowalne ładunki, a w 2025 r. prowadził otwartą rywalizację z innymi gangami o wpływy. W analizach branżowych wskazuje się m.in. kampanie na rynkach od Azji po Europę oraz szybkie poszerzanie listy ofiar.
W osobnym nurcie raporty rządowe i prasowe łączyły użycie ładunków DragonForce z operacjami grupy Scattered Spider – socjotechnika + przejęcia tożsamości, a następnie wdrożenie ransomware/ekstorsji, co potwierdza letni alert CISA 2025.
Skalę skutków biznesowych pokazał m.in. atak na Marks & Spencer, gdzie straty w zysku operacyjnym oszacowano na setki milionów funtów, a powrót kluczowych usług trwał tygodnie.
Analiza techniczna / szczegóły luki
Wejście/Initial Access
- Socjotechnika ukierunkowana na helpdeski, SIM-swap/push-bombing, kradzież poświadczeń; nierzadko także exploity VPN/SSO oraz słabe MFA. (Powiązane wzorce opisane w doradztwach nt. Scattered Spider, które w praktyce bywają wykorzystywane przez afiliantów DragonForce).
Ruch boczny i eskalacja
- Wykorzystanie narzędzi „living off the land” (RDP/WinRM/PowerShell), dump LSASS/AD, psexec/SMB, kradzież tokenów i sesji SSO.
Eksfiltracja i ekstorsja
- Standard „double extortion”: zrzut danych na chmurę/TOR i presja medialna poprzez portal wyciekowy; w 2025 r. obserwowano także przejęcia/deface’y serwisów konkurencji i „white-label” warianty ładunków.
Szyfrowanie
- Klasyczny crypto-ransomware z selektywnym wykluczaniem lokalizacji (m.in. WNP), co sygnalizują profile zagrożeń; mechanizmy przyspieszania szyfrowania (wątkowość), użycie usług przechwytywania VSS i wyłączania AV/EDR skryptami afiliantów.
Praktyczne konsekwencje / ryzyko
- Przestój operacyjny w produkcji, logistyce i montażu (firmy budowlane podlegają sezonowości i karom umownym).
- Wtórne narażenie partnerów: specyfikacje projektów, oferty, dane kontrahentów mogą zostać użyte do spear-phishingu łańcucha dostaw.
- Presja reputacyjna i prawna: publikacja danych klientów/pracowników, obowiązki notyfikacyjne i inspekcje (RODO/FTC/stanowe).
- Ryzyko re-ekstorsji – spory gangów RaaS i „podkradanie” ofiar zwiększają prawdopodobieństwo wielokrotnego szantażu.
Rekomendacje operacyjne / co zrobić teraz
1) Zabezpieczenie tożsamości i dostępu
- Wymuś phishing-resistant MFA (FIDO2/WebAuthn) na VPN/SSO/Helpdesk; wyłącz SMS/voice MFA.
- Just-in-time/least privilege + rotacja kluczy/sekretów po każdym incydencie.
- Zamknij luki w zdalnym dostępie: blokada RDP z Internetu, segmentacja i bastiony.
2) Twardnienie punktów końcowych
- EDR z regułami blokowania LOLBins/skrótów do narzędzi admina; blokada makr, AppLocker/WDAC.
- Backup 3-2-1-1-0 z izolacją (immutability), regularne testy odtworzeniowe.
3) Detections i playbooki na TTPs
- Detections na: nietypowe resetowanie MFA/helpdesk, masowe token impersonation, LSASS dump, psexec, masowe wywołania VSSADMIN/WMIC.
- Egress control/DLP – limity wysyłek, detekcja zrzutów do chmury TOR/MEGA/S3.
4) Gotowość prawno-komunikacyjna
- Z góry przygotowane matryce decyzyjne (no-pay vs pay), procedury notyfikacji regulatorów/klientów, FAQ dla call center, alternatywny kanał sprzedaży.
5) Dostawcy i łańcuch
- Wymagaj od wykonawców: FIDO2-MFA, logowania zdarzeń, wskaźników zdrowia kopii zapasowych, kontaktu IR 24/7.
- Dla branży budowlanej: segmentacja serwerów ERP/wycen/plikowni projektowych, ograniczenie dostępu mobilnych ekip.
Różnice / porównania z innymi przypadkami
- DragonForce (RaaS/cartel) vs LockBit/ALPHV (BlackCat): podobny model afiliacyjny, ale DragonForce w 2025 r. agresywnie promuje white-label i wchodzi w otwarte konflikty z rywalami, co zwiększa ryzyko re-ekstorsji i „przejmowania” ofiar.
- W porównaniu z Cl0p (eksfiltracja bez szyfrowania w kampaniach masowych) DragonForce częściej łączy pełny crypto-lock z presją medialną DLS.
Podsumowanie / kluczowe wnioski
- Wpis o Division 10 Inc. na portalu wyciekowym wskazuje na trwającą kampanię DragonForce wymierzoną w firmy z sektora budowlanego i pokrewnych.
- TTPs łączą elementy socjotechniki tożsamościowej (wzorce znane ze Scattered Spider) z klasycznym double extortion.
- Organizacje powinny priorytetyzować MFA odporne na phishing, segmentację, egress/DLP oraz testy odtworzeniowe – to najszybszy zwrot z inwestycji w kontekście tego aktora.
Źródła / bibliografia
- Karta ofiary Division 10 – ransomware.live (30.11.2025). (ransomware.live)
- FortiGuard: „DragonForce – Threat Actor” (15.11.2025). (fortiguard.com)
- Acronis TRU: „The DragonForce Cartel: Scattered Spider at the gate” (04.11.2025). (Acronis)
- CISA: Aktualizacja poradnika nt. Scattered Spider (29.07.2025). (CISA)
- Reuters: „M&S believes DragonForce behind ransomware attack” (08.07.2025). (Reuters)
