DragonForce

📈 226 revendications cette semaine (+13, +6.1% par rapport à S11) Période : 16.03.2026 au 22.03.2026 Analyse Ransomware — Semaine 12 · 16 au 22 mars 2026 Introduction La semaine 12 de 2026 enregistre 226 revendications d’attaques par rançongiciel, soit une hausse de 13 revendications supplémentaires par rapport à la semaine précédente (+6,1 %). Cette progression confirme un niveau d’activité soutenu après une semaine S11 déjà élevée à 213 revendications. Le volume hebdomadaire reste ainsi ancré au-dessus du seuil des 200 revendications pour la deuxième semaine consécutive. ...

Source : S2W (TALON) — Dans « Inside the Ecosystem, Operations: DragonForce », S2W dresse un panorama technique et opérationnel du groupe ransomware DragonForce, actif depuis décembre 2023, en couvrant son cartel RaaS, son Data Leak Site (DLS), son panel affiliés, et l’évolution de ses binaires Windows et Linux. Le groupe a émergé avec des fuites de données sur BreachForums, en s’appuyant sur des éléments des codes sources LockBit 3.0 (LockBit Black) et Conti. Au 01/2026, le builder basé LockBit 3.0 n’est plus disponible. DragonForce promeut son écosystème via le service RansomBay et des offres différenciantes (p. ex. Harassment Calling, Data Analysis) pour élargir son influence RaaS. ...

Source: S2W — S2W TALON (Byeongyeol An) publie le 14 janvier 2026 une analyse approfondie de DragonForce, un ransomware actif depuis fin 2023, détaillant son fonctionnement, ses liens avec d’autres groupes, ses TTPs et la découverte de déchiffreurs dédiés. — Contexte et évolution — • Découvert le 13 décembre 2023 via un post sur BreachForums, le groupe « DragonForce » maintient un DLS (Data Leak Site) et comptait déjà 17 victimes à cette date. En juin 2024, il officialise son modèle RaaS sur le forum RAMP (affiliés IAB, pentesters solo/équipes), promettant 80% des rançons aux affiliés et revendiquant une organisation de type « cartel ». Le groupe propose un service « Ransombay » pour des charges utiles personnalisées. ...

Selon Trend Micro, cette analyse détaille l’évolution et les techniques de DragonForce (Water Tambanakua), un ransomware-as-a-service qui a muté d’un usage des builders LockBit 3.0 en 2023 vers un modèle de « cartel » RaaS en 2025. Le groupe propose aux affiliés jusqu’à 80% des rançons et fournit des payloads multivariants pour Windows, Linux, ESXi et NAS, ainsi que des outils avancés dont des services d’analyse de données pour l’extorsion. Des liens avec Scattered Spider, RansomHub et d’autres acteurs sont évoqués, suggérant un écosystème complexe. 🐉 ...

Selon l’article de analyst1, en septembre 2025, un opérateur de ransomware se présentant comme « Devman » a partagé un lien vers une nouvelle plateforme de Ransomware-as-a-Service (RaaS) quelques jours avant son lancement public. L’auteur décrit que « Devman » avait travaillé en solo pendant des mois sur du code DragonForce modifié, avant de formaliser une marque et de recruter des affiliés pour opérer en modèle RaaS. 🧩 Le timing est présenté comme inhabituel: quelques semaines auparavant, « Devman » affirmait quitter son équipe ransomware pour des raisons personnelles. Au lieu de se retirer, il a construit davantage d’infrastructure, lancé un programme d’affiliation et s’est positionné comme opérateur RaaS. 🔄 ...

Selon Pointwild, cette fiche de threat intelligence présente DragonForce, un ransomware‑as‑a‑service apparu mi‑2023 et attribué à la Malaisie, avec un focus sur ses tactiques de multi‑extorsion, ses cibles récentes au Royaume‑Uni et ses mécanismes techniques d’évasion et de persistance. Le groupe opère un modèle RaaS et mène une multi‑extorsion: chiffrement des données et exfiltration d’informations sensibles. Début 2025, il a étendu ses opérations via un service « white‑label » nommé Ransom Bay et a ciblé des détaillants britanniques, dont Marks & Spencer et Harrods. ...

L’analyse publiée par Unit 42 de Palo Alto Networks met en lumière les raisons pour lesquelles le groupe de menace Muddled Libra attire une attention médiatique significative par rapport à d’autres affiliés de ransomware-as-a-service. Leur playbook distinctif inclut des tactiques de social engineering sophistiquées, des vagues de ciblage spécifiques à l’industrie, et une maîtrise de l’anglais natif dans les attaques de vishing. Ces éléments contribuent à leur taux de succès élevé, avec 50% des cas récents aboutissant au déploiement du ransomware DragonForce et à l’exfiltration de données. ...

L’article de Bleeping Computer rapporte que Marks & Spencer (M&S) a confirmé avoir subi une attaque de ransomware. L’incident a commencé par une attaque sophistiquée d’usurpation d’identité via ingénierie sociale, permettant aux attaquants de compromettre le réseau de M&S. Cette intrusion initiale a ouvert la voie à une attaque par ransomware DragonForce. Le ransomware DragonForce est connu pour ses attaques ciblées sur les grandes entreprises, provoquant des perturbations significatives et des risques de fuite de données sensibles. ...

L’article publié par Sophos MDR relate une attaque ciblée impliquant un fournisseur de services gérés (MSP). Un acteur malveillant a exploité l’outil de surveillance et de gestion à distance (RMM), SimpleHelp, pour déployer le ransomware DragonForce sur plusieurs points de terminaison. L’attaque a été facilitée par une chaîne de vulnérabilités révélées en janvier 2025, notamment des failles de traversée de chemin, de téléchargement de fichiers arbitraires et d’élévation de privilèges (CVE-2024-57727, CVE-2024-57728, CVE-2024-57726). Les attaquants ont également exfiltré des données sensibles, utilisant une tactique de double extorsion pour faire pression sur les victimes. ...

Cet article, publié par The Observer, rapporte les actions du groupe de hackers DragonForce, qui a récemment mené des attaques contre des entreprises britanniques telles que Marks & Spencer et Co-op. Le groupe DragonForce a revendiqué une attaque qui a perturbé les systèmes de Marks & Spencer, entraînant des étagères vides dans certains magasins et la suspension des commandes en ligne. Une autre attaque contre Co-op a conduit à une fuite de données clients. ...