DragonForce 声称将接管 RansomHub 勒索软件基础设施

DragonForce 运营者背后的绰号在 RAMP 论坛上宣布了一个新的“项目”，随后在其基于洋葱的数据泄露网站 (DLS) 上发布了相同的信息。DragonForce 表示，该组织正在推出新的基础设施——两个新的洋葱链接由 CAPTCHA 保护，类似于 DragonForce 的原生 tor 网站方法——但显示了 RansomHub 勒索软件组织的徽标。

虽然尚不清楚 DragonForce 是否收购了 RansomHub 或只是入侵了它，但官方 RansomHub 洋葱网站自 3 月 31 日起就处于离线状态，这引发了人们对可能被收购的猜测。

DragonForce 和 RansomHub：新的关系尚不明确

DragonForce 在 RAMP 上的帖子内容如下：

“嗨。别担心，RansomHub 很快就会上线，他们只是决定迁移到我们的基础设施！我们是可靠的合作伙伴。

“这是‘项目’运作方式的一个很好的例子，是 DragonForce勒索软件卡特尔的新选择！”

附言如下（下图）：“RansomHub 希望你一切顺利，考虑一下我们的提议！我们正在等待我们队伍中的每个人”

DragonForce 在该组织基于 Tor 的数据泄露网站 (DLS)上也发表了类似的声明，并预览了一个带有 RansomHub 标志的新洋葱网站（下图）。

DragonForce 在 RAMP 论坛上发布的带有 RansomHub 徽标的新洋葱网站预览

DragonForce 勒索软件成为重要参与者

虽然目前尚不清楚这两家公司之间的新安排的性质，但在此之前，DragonForce 于 3 月 18 日宣布大幅扩展其勒索软件即服务 (RaaS) 业务。

该组织引入了类似特许经营的模式，允许关联公司在 DragonForce 勒索软件卡特尔旗下推出自己的勒索软件品牌。关联公司可获得全面的后端支持，包括管理/客户面板、数据托管和具有反 DDoS 保护的全天候基础设施，在保持集中控制的同时提供自主权。

DragonForce 还针对 ESXi、NAS、BSD 和 Windows 系统推出了针对勒索软件存储柜的技术升级。增强功能包括加密状态跟踪、分离执行、持久 UI 消息传递和改进的恢复机制。加密引擎通过两遍标头保护和使用外部熵源的 BearSSL AES-CTR 实现得到进一步强化，“这表明 DragonForce 有志于通过更专业化和更有利于联盟的基础设施来扩展其业务”。

RansomHub 未来前景不明朗

虽然尚不清楚这两个勒索软件组织之间发生了什么，但 RansomHub 的表现令人印象深刻，自 2024 年 2 月以来一直击败所有竞争对手（下图）。

2024 年 2 月至 2025 年 3 月勒索软件组织夺走最多受害者的时期

Cyble 的分析显示，RansomHub 之所以能保持领先地位是由多种因素推动的，包括比之前的组织更加透明、可预测的支出以及为附属组织精心设计的攻击策略。

RansomHub 和 DragonForce 下一步将采取何种形式还有待观察。我们将继续关注这一突发事件，并在获得新信息时及时更新。