DragonForce声称已经吞并暗网勒索软件团伙RansomHub

自2024年初出现以来，暗网勒索软件团伙RansomHub已成功攻击了多个行业的200多名受害者，包括基础设施、信息技术、政府服务、医疗保健、农业、金融服务、制造业、运输和通信等。去年8月，RansomHub曾在暗网上发布超过4TB澳大利亚公司数据。

这个相对较新的网络犯罪集团同样以勒索软件即服务（RaaS）代理的身份运作，并在勒索组织犯罪集团中占据突出地位。在暗网勒索软件团伙LockBit和ALPHV/BlackCat相继被FBI摧毁（尽管后来又陆续恢复了）后，RansomHub成为2024年最活跃的勒索软件组织。

该团伙的暗网数据泄露网站自3月31日起一直处于非活动状态，这一事实支持了RansomHub因内部冲突而面临挫折的理论。RansomHub的暗网数据泄露网站（DLS）突然下线，引发了人们对其可能被收购的猜测。

本月初，RansomHub勒索软件团伙的勒索软件即服务行动的一些附属机构失去了对该勒索团伙聊天门户的访问权限，外界猜测该团伙似乎面临内部冲突，媒体报道称该勒索团伙显然面临“一系列内部分歧和不团结”，“未知数量的附属机构”被切断了RansomHub与受害者的沟通渠道，导致网络犯罪分子将谈判转移到其他渠道，包括其他RaaS团伙的平台。

与此同时，一些成员在暗网网络犯罪论坛RAMP上表达了他们的困惑，一个名为DragonForce的竞争勒索软件组织声称RansomHub已经与他们合作并迁移了他们的基础设施。

由于暗网相关的托管不稳定，数据泄露网站出现短时间停机的情况并不罕见，但这次停机加上据称RansomHub的内部冲突可能进一步表明该团伙的内部管理正在恶化。

暗网勒索软件团伙RansomHub的近期活动

RansomHub 的活动自 2024 年首次被发现以来就愈演愈烈 ，在目标选择方面迅速成为“大型猎物猎人”的代名词。他们主要针对大型组织，这些组织更有 可能支付赎金 以尽快恢复业务连续性， 而不是应对长时间的停机。

受害者的广泛性表明这些攻击是机会性攻击，而非针对特定行业或领域。他们对初始访问操作的了解进一步证实了这一点，这些操作通常包括利用受害者托管的面向公众的应用程序或服务，例如Citrix ADC、FortiOS、Apache ActiveMQ、Confluence Data Center、BIG-IP等。

现有情报显示，该团伙织禁止其分支机构攻击位于中国、古巴、朝鲜、罗马尼亚以及包括俄罗斯在内的独立国家联合体成员国的组织。此类标准行动程序对于位于俄罗斯的威胁行为者来说很常见，旨在降低误伤的可能性，表明该团伙与国家存在一定程度的关联，或希望降低受到当地政府实体干预的风险。

该组织的目标涵盖了广泛的垂直行业，其中最突出的目标包括Frontier Communications等电信公司以及Change Healthcare和Rite Aid等医疗机构。仅在2025年3月，该团伙就在其暗网泄密网站（ransomxifxwc5eteopdobynonjctkxxvap77yqifu2emfbecgbqdw6qd.onion）上发布了超过60个新受害者的信息。

讽刺的是，RansomHub的成功和恶名，很大程度上源于其从其他勒索软件团伙（例如ALPHV/BlackCat）招募不满的附属机构。据报道，ALPHV/BlackCat去年解散时，曾对其附属机构实施了退出骗局。最值得注意的是，在ALPHV/BlackCat涉嫌以2200万美元赎金逃跑后，RansomHub招募了名为“notchy”的威胁行为者，以获取Change Healthcare数据。

RansomHub通过提供优惠的收入分成并允许赎金直接支付给关联公司来营销其关联计划，将自己定位为一个更值得信赖且对关联公司友好的RaaS集团。

尽管信息不断涌现，但我们不得不注意到其中的讽刺之处：一个通过承诺为其附属机构提供稳定和安全而声名鹊起的组织，似乎在一年之内就辜负了这些附属机构，或者背叛了它们。”

DragonForce和RansomHub：新的合作关系尚不明确

一个新的暗网勒索软件团伙DragonForce突然宣布接管RansomHub的基础设施，目前尚不知道这两个团伙之间是何关系。

DragonForce运营者背后的绰号在暗网RAMP论坛上宣布了一个新的“项目”，随后又在其暗网数据泄露网站（DLS）上发布了相同的信息。DragonForce表示，该团团和正在推出新的基础设施——两个新的暗网网站由验证码保护，类似于DragonForce团伙自己的原生Tor网站的做法——但会显示RansomHub勒索软件组织的标志。

DragonForce在RAMP论坛上的帖子如下：

嗨！别担心，RansomHub很快就会上线，他们只是决定迁移到我们的基础架构！我们是值得信赖的合作伙伴。
这是‘项目’运作方式的一个很好的例子，是DragonForce勒索软件集团的新选择！
RansomHub祝您一切顺利，请考虑我们的报价！我们期待着所有加入我们的人。

在有关RansomHub勒索软件团伙的帖子回帖中，有人表示“dragonforce twink ransomhub, one owner”（DragonForce接管了RansomHub，一个所有者），DragonForce回复称“你不应该这么说，这是一种误解。”

暗网勒索软件团伙DragonForce发布新的暗网泄密网站

DragonForce在暗网宣布：

DragonForce勒索软件卡特尔！- 是时候改变了

今天，我想向您介绍我们的新方向，我们将按照新的原则，以新的方式开展工作。您不再需要在我们的品牌下工作，现在您可以在久经考验的合作伙伴的支持下创建自己的品牌！我们，DragonForce勒索软件卡特尔，为您提供 “项目”，现在您可以自己创建。

我们正处于全球更新模式！请耐心等待。

DragonForce在暗网泄密网站发布消息：RansomHub在DragonForce系统上运行，在此页面您可以找到来自DF团队的最新消息。新闻包含一个PGP签名，可以用联系窗口内的DF公钥验证。保存密钥，用签名按钮复制签名后的信息，并用您的PGP工具（如OpenPGP、GnuPGP、Kleopatra或任何其他工具）进行验证。DF PGP 公钥也可在其他资源或论坛上找到。

DragonForce称“嗨，别担心，RansomHub很快就会上线，他们只是决定迁移到我们的基础设施！我们是可靠的合作伙伴。”同时，DragonForce发布了新的RansomHub泄密网站：

• RansomHub / Blog: http://ijbw7iiyodqzpg6ooewbgn6mv2pinoer3k5pzdecoejsw5nyoe73zvad.onion/blog
• RansomHub / Client: http://rnc6scfbqslz5aqxfg5hrjel5qomxsclltc6jvhahi6qwt7op5qc7iad.onion

在该暗网网站页面，DragonForce正在招募附属机构，其表示：

DragonForce Ransomware
卡特尔邀请合作伙伴！最好的工具，最好的条件，最重要的是
所有合作伙伴的可靠性。在我们这里，您将获得稳定的报酬，工作起来也不会心存疑虑。

并号称提供：

• 所有工作流程完全自动化。
• 一套完整的业务管理系统。
• 针对每项任务的作战软件！ESXi、NAS、BSD、Win。
• 博客、FS（文件服务器）、管理面板、客户端面板。
• 无间断工作的 DragonForce Anti-DDoS 反病毒软件！
• 可靠的基础设施！
• 一个团队管理无限数量的品牌！
• DragonForce勒索软件卡特尔，全天候监控服务器。
• PETABYTE，无限存储。
• 免费呼叫服务、NTLM、Kerb 解密。
• 80% 归您所有（我们只收取 20%）。