DragonForce: La nueva amenaza de ransomware que golpea infraestructuras industriales

El grupo cibercriminal DragonForce, emergido a finales de 2023, representa una amenaza creciente para infraestructuras críticas, especialmente en el sector industrial. Según el análisis detallado de Darktrace, sus tácticas incluyen múltiples vectores de ataque diseñados para comprometer sistemas empresariales.

Los investigadores identificaron que DragonForce opera bajo un modelo de Ransomware como Servicio (RaaS), ofreciendo una infraestructura compleja a actores de amenazas. A diferencia de otras plataformas, ofrecen comisiones más bajas, aproximadamente del 20%, lo que ha generado interés entre ciberdelincuentes.

El caso de estudio de Darktrace documentó una infección en agosto de 2025, donde los atacantes realizaron escaneos de red, intentos de fuerza bruta para obtener credenciales administrativas y finalmente procedieron a cifrar archivos utilizando el protocolo SMB.

Las etapas del ataque incluyeron:
1. Escaneo de red interno
2. Intentos de obtención de credenciales de administrador
3. Manipulación de registros de Windows
4. Exfiltración de datos
5. Cifrado de archivos con extensión '.df_win'

Un detalle crítico fue la exfiltración de datos a través de una dirección IP (45.135.232[.]229) ubicada en Rusia, asociada con un proveedor de hosting malicioso llamado Proton66.

Los investigadores destacan que la proliferación de servicios como DragonForce fragmenta las tácticas de los atacantes, dificultando la defensa preventiva para equipos de seguridad.

Recomendaciones para organizaciones incluyen:
- Implementar respuesta autónoma en sistemas de ciberseguridad
- Monitorear constantemente actividades anómalas en red
- Restringir permisos administrativos
- Mantener sistemas actualizados
- Capacitar al personal en reconocimiento de amenazas digitales

El informe concluye subrayando la importancia de estar preparados ante la creciente sofisticación de los grupos de ransomware como DragonForce.