DragonForce wskazuje nową ofiarę: Division 10 Inc. (USA). Co wiemy i co robić?

Wprowadzenie do problemu / definicja luki

30 listopada 2025 r. na portalu agregującym wycieki pojawiła się karta ofiary Division 10 Inc. (Memphis, Tennessee) przypisana do grupy DragonForce. Wpis wskazuje datę wykrycia i szacowaną datę ataku jako 30.11.2025 oraz zawiera metadane DNS domeny firmy. To typowy schemat „naming & shaming”, którego celem jest presja na zapłatę okupu po eksfiltracji danych.

W skrócie

• Sprawca: DragonForce – rosnący „cartel” RaaS (Ransomware-as-a-Service) aktywny od końca 2023 r., działający w modelu afiliacyjnym i „white-label”.
• Ofiara: Division 10 Inc. (USA), sektor dostaw wyposażenia budowlanego. Wpis w serwisie wyciekowym z 30.11.2025.
• Kontekst: TTPs DragonForce bywają łączone z działalnością operatorów Scattered Spider, według wspólnego alertu CISA i partnerów.
• Ryzyko: przerwy operacyjne, wtórne ataki na partnerów w łańcuchu dostaw, szantaż publikacją danych, możliwa podwójna (a choćby potrójna) ekstorsja. Przykłady wpływu na handel detaliczny pokazały głośne incydenty 2025 r. (np. M&S).

Kontekst / historia / powiązania

DragonForce ewoluował z klasycznej grupy ransomware do „kartelu” RaaS: rekrutuje afiliantów, oferuje brandowalne ładunki, a w 2025 r. prowadził otwartą rywalizację z innymi gangami o wpływy. W analizach branżowych wskazuje się m.in. kampanie na rynkach od Azji po Europę oraz szybkie poszerzanie listy ofiar.
W osobnym nurcie raporty rządowe i prasowe łączyły użycie ładunków DragonForce z operacjami grupy Scattered Spider – socjotechnika + przejęcia tożsamości, a następnie wdrożenie ransomware/ekstorsji, co potwierdza letni alert CISA 2025.
Skalę skutków biznesowych pokazał m.in. atak na Marks & Spencer, gdzie straty w zysku operacyjnym oszacowano na setki milionów funtów, a powrót kluczowych usług trwał tygodnie.

Analiza techniczna / szczegóły luki

Wejście/Initial Access

• Socjotechnika ukierunkowana na helpdeski, SIM-swap/push-bombing, kradzież poświadczeń; nierzadko także exploity VPN/SSO oraz słabe MFA. (Powiązane wzorce opisane w doradztwach nt. Scattered Spider, które w praktyce bywają wykorzystywane przez afiliantów DragonForce).

Ruch boczny i eskalacja

• Wykorzystanie narzędzi „living off the land” (RDP/WinRM/PowerShell), dump LSASS/AD, psexec/SMB, kradzież tokenów i sesji SSO.

Eksfiltracja i ekstorsja

• Standard „double extortion”: zrzut danych na chmurę/TOR i presja medialna poprzez portal wyciekowy; w 2025 r. obserwowano także przejęcia/deface’y serwisów konkurencji i „white-label” warianty ładunków.

Szyfrowanie

• Klasyczny crypto-ransomware z selektywnym wykluczaniem lokalizacji (m.in. WNP), co sygnalizują profile zagrożeń; mechanizmy przyspieszania szyfrowania (wątkowość), użycie usług przechwytywania VSS i wyłączania AV/EDR skryptami afiliantów.

Praktyczne konsekwencje / ryzyko

• Przestój operacyjny w produkcji, logistyce i montażu (firmy budowlane podlegają sezonowości i karom umownym).
• Wtórne narażenie partnerów: specyfikacje projektów, oferty, dane kontrahentów mogą zostać użyte do spear-phishingu łańcucha dostaw.
• Presja reputacyjna i prawna: publikacja danych klientów/pracowników, obowiązki notyfikacyjne i inspekcje (RODO/FTC/stanowe).
• Ryzyko re-ekstorsji – spory gangów RaaS i „podkradanie” ofiar zwiększają prawdopodobieństwo wielokrotnego szantażu.

Rekomendacje operacyjne / co zrobić teraz

1) Zabezpieczenie tożsamości i dostępu

• Wymuś phishing-resistant MFA (FIDO2/WebAuthn) na VPN/SSO/Helpdesk; wyłącz SMS/voice MFA.
• Just-in-time/least privilege + rotacja kluczy/sekretów po każdym incydencie.
• Zamknij luki w zdalnym dostępie: blokada RDP z Internetu, segmentacja i bastiony.

2) Twardnienie punktów końcowych

• EDR z regułami blokowania LOLBins/skrótów do narzędzi admina; blokada makr, AppLocker/WDAC.
• Backup 3-2-1-1-0 z izolacją (immutability), regularne testy odtworzeniowe.

3) Detections i playbooki na TTPs

• Detections na: nietypowe resetowanie MFA/helpdesk, masowe token impersonation, LSASS dump, psexec, masowe wywołania VSSADMIN/WMIC.
• Egress control/DLP – limity wysyłek, detekcja zrzutów do chmury TOR/MEGA/S3.

4) Gotowość prawno-komunikacyjna

• Z góry przygotowane matryce decyzyjne (no-pay vs pay), procedury notyfikacji regulatorów/klientów, FAQ dla call center, alternatywny kanał sprzedaży.

5) Dostawcy i łańcuch

• Wymagaj od wykonawców: FIDO2-MFA, logowania zdarzeń, wskaźników zdrowia kopii zapasowych, kontaktu IR 24/7.
• Dla branży budowlanej: segmentacja serwerów ERP/wycen/plikowni projektowych, ograniczenie dostępu mobilnych ekip.

Różnice / porównania z innymi przypadkami

• DragonForce (RaaS/cartel) vs LockBit/ALPHV (BlackCat): podobny model afiliacyjny, ale DragonForce w 2025 r. agresywnie promuje white-label i wchodzi w otwarte konflikty z rywalami, co zwiększa ryzyko re-ekstorsji i „przejmowania” ofiar.
• W porównaniu z Cl0p (eksfiltracja bez szyfrowania w kampaniach masowych) DragonForce częściej łączy pełny crypto-lock z presją medialną DLS.

Podsumowanie / najważniejsze wnioski

• Wpis o Division 10 Inc. na portalu wyciekowym wskazuje na trwającą kampanię DragonForce wymierzoną w firmy z sektora budowlanego i pokrewnych.
• TTPs łączą elementy socjotechniki tożsamościowej (wzorce znane ze Scattered Spider) z klasycznym double extortion.
• Organizacje powinny priorytetyzować MFA odporne na phishing, segmentację, egress/DLP oraz testy odtworzeniowe – to najszybszy zwrot z inwestycji w kontekście tego aktora.

Źródła / bibliografia

1. Karta ofiary Division 10 – ransomware.live (30.11.2025). (ransomware.live)
2. FortiGuard: „DragonForce – Threat Actor” (15.11.2025). (fortiguard.com)
3. Acronis TRU: „The DragonForce Cartel: Scattered Spider at the gate” (04.11.2025). (Acronis)
4. CISA: Aktualizacja poradnika nt. Scattered Spider (29.07.2025). (CISA)
5. Reuters: „M&S believes DragonForce behind ransomware attack” (08.07.2025). (Reuters)