Ransomware : DragonForce tend la main à RansomHub

C’est Tammy Harper, chercheuse en renseignement sur les menaces chez Flare.io, qui l’a repéré : dans un billet publié sur un forum fréquenté notamment par les cybercriminels, les opérateurs de l’enseigne DragonForce annoncent leur rapprochement avec RansomHub.

Une déclinaison de la vitrine utilisée par DragonForce aux couleurs de RansomHub est d’ailleurs déjà prête, avec un message dont la publication est programmée pour le 15 avril. Présenté ici en capture d’écran, il a été depuis retiré. De son côté, la vitrine de RansomHub est actuellement inaccessible. Et c’est suffisamment rare pour mériter d’être souligné. 

Un tel rapprochement pourrait ne pas être incongru. Ainsi, DragonForce est actif depuis au moins novembre 2023. Son site vitrine, où il épingle ses victimes, est connu depuis la mi-décembre suivante. 

DragonForce compte parmi ceux qui, indépendamment de la franchise LockBit 3.0, en utilisent le ransomware, à partir d’un outillage divulgué en 2022, à l’instar de Brain Cipher.

De son côté, RansomHub est une enseigne apparue en février 2024, avec un niveau initial d’activité (remontant au mois précédent) plutôt modeste. Mais c’était sans compter avec l’exit-scam d’Alphv et l’opération judiciaire internationale Cronos contre LockBit.

À la suite de ces deux incidents, RansomHub a réussi à attirer d’anciens affidés d’Alphv et LockBit 3.0. Cette migration s’est traduite concrètement dans l’activité observable des enseignes : celle de LockBit 3.0 a considérablement reculé après le mois de mai. Tandis que celle de RansomHub décollait rapidement.

Dès lors, moyennant des conditions alléchantes et une infrastructure efficace, il n’apparaît pas fondamentalement déplacé d’imaginer que des utilisateurs de LockBit, déçus par sa direction (mais satisfaits du ransomware), décident de migrer vers une nouvelle enseigne et en reprendre l’usage.

Quel avantage pour DragonForce ? Peut-être l’accès aux outils proposés par RansomHub contre abonnement VIP à ses meilleurs affidés. Celui-ci leur donne accès à des outils exclusifs, dont certains, permettant d’échapper à la détection des EDR. Il a été observé au printemps 2024. Fin juillet, RansomHub a annoncé à ses affidés une nouvelle version de son rançongiciel supportant le protocole SFTP et les serveurs mandataires Socks. 

Mais les meilleurs affidés de RansomHub pourraient ne pas y trouver leur intérêt. Car, indiquait Bratva (un acteur bien connu de l’écosystème du ransomware), durant l’été : « RansomHub autorise certains de ses affidés à collaborer avec d’autres groupes de RaaS ».