operator ransomware lainnya
Ditulis oleh Tim Peneliti Sophos Counter Threat Unit (CTU)
DragonForce bukan sekadar merek ransomware biasa – ia adalah kekuatan perusak yang berusaha mengubah lanskap dunia ransomware. Tim peneliti CTU saat ini secara aktif memantau evolusi ancaman yang ditimbulkan oleh kelompok ini.
Kebangkitan DragonForce
DragonForce terlibat dalam serangan berdampak tinggi yang menargetkan infrastruktur TI tradisional serta lingkungan virtualisasi seperti VMware ESXi, dengan fokus besar pada pencurian kredensial, penyalahgunaan Active Directory, dan eksfiltrasi data. Pada Maret 2025, DragonForce meluncurkan langkah untuk merebut dominasi dalam ekosistem ransomware dengan memperkenalkan model afiliasi yang lebih fleksibel dan menyerang kelompok ransomware lain.
Serangkaian serangan terhadap peritel di Inggris yang dimulai pada akhir April membuat grup ini menjadi sorotan, setelah laporan pihak ketiga mengaitkan serangan tersebut dengan DragonForce dan kelompok ancaman GOLD HARVEST (juga dikenal sebagai Scattered Spider). GOLD HARVEST sering menggunakan rekayasa sosial, penyalahgunaan alat remote monitoring & management (RMM), dan teknik bypass MFA untuk mendapatkan akses, mencuri data dalam jumlah besar, dan kadang-kadang menyebarkan ransomware.
Dari RaaS ke ‘Kartel’
Saat muncul pada Agustus 2023, DragonForce menjalankan skema tradisional Ransomware-as-a-Service (RaaS). Namun pada 19 Maret 2025, mereka mengumumkan rebranding sebagai “kartel” dengan tujuan memperluas jangkauan, meniru kesuksesan grup seperti LockBit. Dalam praktiknya, ini bukanlah operasi kartel sebenarnya, tetapi lebih seperti sistem yang memberi afiliasi keleluasaan menggunakan infrastruktur dan alat ransomware DragonForce sambil tetap menjalankan merek sendiri.
Cuplikan pengumuman:
“Mulai hari ini kami bergerak dengan prinsip baru. Anda tidak perlu lagi menggunakan nama kami – sekarang Anda bisa menciptakan merek sendiri di bawah naungan mitra terpercaya: DragonForce Ransomware Cartel!”
DragonForce tak hanya mengubah model bisnisnya – mereka juga mulai menyerang operasi pesaing. Postingan “kartel” tersebut muncul bersamaan dengan penghancuran situs bocoran milik kelompok ransomware BlackLock dan Mamona, yang diduga dilakukan oleh DragonForce.
Perseteruan dengan RansomHub
Pada bulan April, situs bocoran RansomHub memuat postingan yang mempromosikan kartel DragonForce. Di forum bawah tanah RAMP, DragonForce juga menyiratkan bahwa mereka bekerja sama dengan RansomHub. Namun, catatan di akhir postingan menunjukkan bahwa kolaborasi ini mungkin tidak disetujui oleh pihak RansomHub.
RansomHub merupakan salah satu grup paling produktif yang muncul setelah keruntuhan LockBit dan ALPHV (BlackCat) pada tahun 2024. Tak lama setelah posting tersebut, situs bocoran RansomHub offline, menampilkan pesan “RansomHub R.I.P 03/03/2025”. Tampaknya, kolaborasi itu lebih menyerupai pengambilalihan paksa oleh DragonForce.
Anggota RansomHub bernama ‘koley’ membalas dengan meretas halaman DragonForce di forum RAMP dan meninggalkan pesan sindiran serta tuduhan bahwa DragonForce bekerja sama dengan penegak hukum, menyerang rival, dan menyebar kebohongan.
Situs Kembali Online, Ketegangan Masih Memuncak
Pada awal Mei 2025, situs bocoran DragonForce kembali aktif setelah offline cukup lama. Selama masa down time, situs hanya menampilkan pesan bahwa server akan kembali aktif pada 29 April. Pesan serupa juga muncul di situs RansomBay.
Pada bulan Mei 2025, peritel Inggris Marks and Spencer menjadi korban serangan siber besar yang dikaitkan secara publik dengan GOLD HARVEST (Scattered Spider), meskipun belum ada konfirmasi resmi. Kelompok ini merupakan kolektif siber kriminal terdesentralisasi yang beroperasi melalui forum bawah tanah dan kanal komunikasi terenkripsi.
GOLD HARVEST diyakini telah menggunakan ransomware DragonForce dalam serangan tersebut. Kelompok ini sebelumnya juga terlibat dalam serangan ke MGM Resorts pada 2023 dengan ransomware ALPHV, serta menggunakan RansomHub dalam serangan sepanjang 2024.
Mereka dikenal karena keahlian dalam rekayasa sosial, sering kali menyusup melalui help desk IT, dan menggunakan malware pencuri informasi seperti Vidar dan Raccoon untuk mencuri password, cookie, dan token sesi dari browser korban.
Peringatan bagi Perusahaan Retail dan Dunia Usaha
DragonForce telah mengklaim dua serangan yang berdampak terhadap peritel Inggris. Perang internal antar kelompok ransomware tidak mengurangi risiko bagi organisasi — malah bisa memperburuknya karena serangan menjadi lebih oportunis dan tidak terduga.
Organisasi harus memperkuat strategi respons insiden, intelijen ancaman, dan manajemen risiko pihak ketiga agar tetap tangguh menghadapi lanskap ancaman yang semakin kacau ini.
Tips untuk Pertahanan Siber
Meskipun kontrol teknis penting untuk mendeteksi aktivitas GOLD HARVEST dan DragonForce, proses internal dan kewaspadaan manusia tetap krusial. Banyak kompromi teknis dimulai dari kompromi sosial — lewat percakapan, bukan eksploit.
Rekomendasi dari peneliti CTU:
- Gunakan isolasi browser dan password manager untuk mencegah pengambilan kredensial yang disimpan.
- Terapkan deteksi endpoint terhadap aktivitas infostealer (termasuk pencurian kredensial dan cookie sesi).
- Gunakan solusi pemantauan identitas berbasis intelijen ancaman dan sumber dark web.
- Wajibkan verifikasi identitas yang ketat untuk interaksi help desk dan dukungan IT.
- Buat jalur eskalasi yang jelas agar staf front-line bisa menolak permintaan mencurigakan hingga dapat diverifikasi.
- Lakukan latihan simulasi secara berkala untuk skenario rekayasa sosial dan ancaman dari dalam.
Perang antar geng ransomware seperti DragonForce dan RansomHub mungkin menciptakan kekacauan bagi mereka, tapi bagi dunia usaha — ini adalah peringatan serius untuk bersiap lebih baik.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!