DragonForce

Selon Pointwild, cette fiche de threat intelligence présente DragonForce, un ransomware‑as‑a‑service apparu mi‑2023 et attribué à la Malaisie, avec un focus sur ses tactiques de multi‑extorsion, ses cibles récentes au Royaume‑Uni et ses mécanismes techniques d’évasion et de persistance. Le groupe opère un modèle RaaS et mène une multi‑extorsion: chiffrement des données et exfiltration d’informations sensibles. Début 2025, il a étendu ses opérations via un service « white‑label » nommé Ransom Bay et a ciblé des détaillants britanniques, dont Marks & Spencer et Harrods. ...

L’analyse publiée par Unit 42 de Palo Alto Networks met en lumière les raisons pour lesquelles le groupe de menace Muddled Libra attire une attention médiatique significative par rapport à d’autres affiliés de ransomware-as-a-service. Leur playbook distinctif inclut des tactiques de social engineering sophistiquées, des vagues de ciblage spécifiques à l’industrie, et une maîtrise de l’anglais natif dans les attaques de vishing. Ces éléments contribuent à leur taux de succès élevé, avec 50% des cas récents aboutissant au déploiement du ransomware DragonForce et à l’exfiltration de données. ...

L’article de Bleeping Computer rapporte que Marks & Spencer (M&S) a confirmé avoir subi une attaque de ransomware. L’incident a commencé par une attaque sophistiquée d’usurpation d’identité via ingénierie sociale, permettant aux attaquants de compromettre le réseau de M&S. Cette intrusion initiale a ouvert la voie à une attaque par ransomware DragonForce. Le ransomware DragonForce est connu pour ses attaques ciblées sur les grandes entreprises, provoquant des perturbations significatives et des risques de fuite de données sensibles. ...

L’article publié par Sophos MDR relate une attaque ciblée impliquant un fournisseur de services gérés (MSP). Un acteur malveillant a exploité l’outil de surveillance et de gestion à distance (RMM), SimpleHelp, pour déployer le ransomware DragonForce sur plusieurs points de terminaison. L’attaque a été facilitée par une chaîne de vulnérabilités révélées en janvier 2025, notamment des failles de traversée de chemin, de téléchargement de fichiers arbitraires et d’élévation de privilèges (CVE-2024-57727, CVE-2024-57728, CVE-2024-57726). Les attaquants ont également exfiltré des données sensibles, utilisant une tactique de double extorsion pour faire pression sur les victimes. ...

Cet article, publié par The Observer, rapporte les actions du groupe de hackers DragonForce, qui a récemment mené des attaques contre des entreprises britanniques telles que Marks & Spencer et Co-op. Le groupe DragonForce a revendiqué une attaque qui a perturbé les systèmes de Marks & Spencer, entraînant des étagères vides dans certains magasins et la suspension des commandes en ligne. Une autre attaque contre Co-op a conduit à une fuite de données clients. ...

L’article publié par TechCrunch rapporte une cyberattaque contre le géant britannique de la distribution Marks & Spencer, révélée dans une déclaration à la bourse de Londres. Marks & Spencer a confirmé que des cybercriminels ont volé des données personnelles de ses clients lors d’une attaque informatique survenue le mois précédent. Les informations compromises incluent les noms, dates de naissance, adresses postales et électroniques, numéros de téléphone, ainsi que des informations sur les ménages et historiques de commandes en ligne. ...

Cet article du chercheur en sécurité Kevin Beaumont, analyse le groupe à l’origine des derniers attaques sur le déttailants britanniques. Selon un rapport de la Cybersecurity and Infrastructure Security Agency (CISA) americaine, un groupe opérant sous le nom de DragonForce cible des détaillants britanniques tels que Marks and Spencer, Co-op et Harrods à l’aide de techniques d’ingénierie sociale. Les attaques sont similaires à celles menées par Scattered Spider et LAPSUS$ entre 2022 et 2023, qui avaient compromis des entreprises de renom comme Nvidia, Samsung, Rockstar et Microsoft. Les assaillants accèdent aux systèmes en se faisant passer pour des employés via le service d’assistance pour obtenir un accès MFA. ...

🧱 DragonForce change de stratégie : vers un cartel du ransomware Le groupe DragonForce, déjà connu pour ses activités de ransomware, a annoncé une nouvelle stratégie organisationnelle : regrouper plusieurs acteurs cybercriminels sous un modèle de “cartel”, où chaque affilié peut agir sous sa propre marque. 💼 Un modèle RaaS à la carte DragonForce propose aux groupes affiliés de : Utiliser leur infrastructure complète (site de fuite de données, outils de négociation, hébergement du malware) Déployer le ransomware sous leur propre nom de groupe Éviter les coûts de maintenance d’une infrastructure autonome En échange, DragonForce prélève 20 % des rançons perçues, un taux plus attractif que les 30 % souvent appliqués dans les modèles classiques de Ransomware-as-a-Service (RaaS). ...