DragonForce が RansomHub を敵対的買収? サイバー犯罪グループ間の抗争が激化

DragonForce Engages in “Turf War” for Ransomware Dominance

2025/05/23 InfoSecurity — サイバー犯罪市場における優位性を確立しようとする DragonForce が、ライバルのランサムウェア・オペレーターとの縄張り争いを繰り広げていることが、Sophos の最新調査により明らかになった。2025年3月下旬に RansomHub のインフラが停止した事件にも、この DragonForce が関与している模様だ。この事件は、4月のランサムウェア攻撃件数の大幅な減少に貢献した。この件は、DragonForce から RansomHub に対する、敵対的買収の試みの結果だとも言われている。

Ransomware-as-a-service (RaaS) を提供するライバル企業への DragonForce の攻撃は、2025年3月に活動範囲を拡大するために、ブランド名を “cartel” に変更した後に始まったと観察されている。

DragonForce の刷新されたカルテル・モデル

このカルテル・モデルが可能にするのは、自社ブランドで活動する関連アフィリエイトによる、DragonForce のインフラとツールの柔軟な活用である。

このシンジケートは2025年の初頭に RansomBay を立ち上げ、ビジネス・モデルの土台を築いた。それは、ランサムウェア活動をアフィリエイト自身の名前でリブランドできるホワイト・ラベル・サービスである。

アフィリエイトたちは身代金の 20% を支払い、残りを保有できる。その一方で、DragonForce は、基盤となるインフラ/技術サポート/リークサイトのホスティングを担当する。

報道によると、2024年4月の下旬に Scattered Spider は、英国の小売業者 Marks and Spencer (M&S)/Co-operative Group/Harrods を標的にする際に、DragonForce のインフラを活用していたという。

ライバルの RaaS 事業者への攻撃

Sophos の研究者たちが観測したのは、2024年3月のカルテル発表と、BlackLock/Mamona ランサムウェア・グループが運営する、リークサイトの改竄が同時に発生したことだ。それらの改竄されたサイトには、DragonForce のロゴが表示されている。

Defaced Mamona (left) and BlackLock (right) leak sites. Source: Sophos

この攻撃の後に、DragonForce と RansomHub の間で、大規模な縄張り争いが勃発したようだ。

当初、RansomHub のリークサイトには、”DragonForce カルテルへようこそ” という投稿が掲載され、両グループが協力関係を築く可能性が示唆されていた。その後の RAMP アンダーグラウンド・フォーラムでも、RansomHub が DragonForce のインフラに移行していると説明する投稿があり、両者の協力関係が示唆されていた。

しかし、その追記が示唆していたのは、DragonForceの申し出に対する、RansomHub の不同意である。具体的には、「RansomHub、元気ですか?ぜひ、私たちの申し出を検討してほしい。仲間の皆さんを待っている」という、DragonForce のメッセージが、それを示している。

DragonForce post suggesting a collaboration with RansomHub. Source: Sophos

これらの投稿の直後に、RansomHub のリークサイトはオフラインになり、”RansomHub R.I.P 03/03/2025″ というメッセージが表示された。

Sophos の研究者たちは、「DragonForce と RansomHub の “協力” は、DragonForce による敵対的買収に近いものだったようだ」と指摘している。

明らかな報復攻撃も観察されている。RansomHub の著名なメンバーが “koley” というペルソナを使って RAMP に投稿したのは、DragonForce のホームページを改竄した画像と、”@dragonforce 裏切り者がいるようだ…” というメッセージである。

また、別の投稿で koley は、「DragonForce は法執行機関と協力し、ライバルを攻撃し、嘘をついている」と非難している。

Sophosによると、DragonForce のリークサイトは、長期間のダウンタイムの後にオンラインに復旧したという。このダウンタイムの最中に、DragonForce のホームページには “すぐに復旧する” というメッセージが表示され、RansomBay のリークサイトにも同様のメッセージが表示されていた。

内部抗争が脅威ランドスケープに与える影響

DragonForce とライバル・グループとの対立は、LockBit などの RaaSグループの成功に倣い、ランサムウェア市場を支配しようとする動きの一環と考えられる。

この数年の間に、法執行機関による一連の大規模な作戦により、LockBit などのランサムウェア・グループの一部が壊滅していった。その結果として、ランサムウェアのエコシステムは断片化され、活動的なグループ同士が競い合うようになった。

先日に英国 National Crime Agency (NCA) の William Lyne は、「ランサムウェアの世界はポスト・トラスト・エコシステムへと移行し、断片化され、不信感を募らせるサイバー犯罪グループが、法執行機関による監視が強化される中で活動している」と、Infosecurity に述べた。

Sophos の研究者たちが警告するのは、ランサムウェア・グループ間の内部抗争は、グループ自身の活動を阻害するが、ユーザー組織が直面するリスクのレベルを軽減するものではないという点だ。

彼らは、「実際のところ、いくつかのグループが優位性を確立し、盗み出したデータを新たな方法で収益化しようと躍起になるにつれ、不規則な動機により攻撃が生じる可能性がある。 したがって、ユーザー組織は、さらに混沌としていく脅威に対する回復力を維持するために、インシデント対応/脅威インテリジェンス/サードパーティ・リスク管理などの戦略を、再検討する必要がある」と締め括っている。

DragonForce と RansomHub の間で、大規模な縄張り争いが勃発したとのことです。攻撃者同士の競争の激化と、ユーザー組織における被害のバランスは、どのように変化するのでしょう。よろしければ、カテゴリ RansomwareRansomHub で検索も、ご参照ください。