DragonForce, LockBit a Qilin oznamují alianci
V září tohoto roku došlo v oblasti kybernetické bezpečnosti k zajímavé změně. Právě tehdy totiž skupina DragonForce navrhla partnerství s dalšími gangy a to LockBitem a Qilinem. V rusky psaném příspěvku na darknetovém fóru gang vysvětlil svou vizi: vytvořit rovné podmínky pro konkurenci, eliminovat konflikty a veřejné urážky mezi gangy.
Hlavním heslem spolupráce se stalo „zůstat v kontaktu, být k sobě přátelští a být silnými spojenci, ne nepřáteli“. LockBit s návrhem rychle souhlasil a koalice byla na světě.
Lockbit ransomware group, Dragonforce ransomware group, and Qilin ransomware group, have established a truce and are all best friends now
— vx-underground (@vxunderground) September 15, 2025
"The enemy of my enemy is my friend" — Ransomware groups regarding law enforcement agencies, probably pic.twitter.com/CH8oeCcAYL
Co za aliancí stojí?
Skupina DragonForce ve svém oznámení neskrývala ambice. Gang prohlásil, že jejich dveře jsou otevřené všem, kteří se zajímají o budoucnost tohoto odvětví. Cílem je maximalizovat celkový příjem všech zúčastněných.
Pro bezpečnostní experty je samozřejmě tato spolupráce znepokojující. Sdílení technik, zdrojů a infrastruktury mezi třemi tak významnými gangy může vést k mnohem efektivnějším a častějším útokům. Navíc by aliance mohla pomoci obnovit pošramocenou pověst LockBitu.
Mohlo by vás zajímat
Zdroj: screenshot webu dragonforce
LockBit se vrací po zásahu policie
V únoru loňského roku zasadila mezinárodní policejní akce LockBitu těžkou ránu. Zabavila servery, infrastrukturu a dešifrovací klíče. V květnu dokonce odhalila identitu jednoho z lídrů gangu - ruského občana Dmitrije Jurijeviče Choroševa, který je však stále na svobodě.
Tyto zásahy podlomily důvěru partnerů v tento gang. Mnozí členové uprchli ke konkurenčním skupinám, především k RansomHubu, který se ale na začátku letošního roku odmlčel. LockBit se nyní vrací s novou verzí 5.0, která dokáže napadnout Windows, Linux i VMware ESXi systémy.
Qilin kraluje aktuálním statistikám
Z trojice gangů je právě Qilin momentálně nejaktivnější. Ve třetím čtvrtletí letošního roku si připsal přes 200 obětí. Gang v poslední době výrazně zvýšil své operační tempo a zaměřuje se především na organizace v Severní Americe.
Qilin nabízí svým partnerům až 85 % z výkupného, což je v oboru velmi štědrá nabídka. Kromě toho poskytuje právní podporu, pomoc při vyjednávání a dokonce i DDoS útoky jako doplňkovou službu.
Mohlo by vás zajímat
Kritická infrastruktura už není tabu
Znepokojivou novinkou je, že LockBit 5.0 odstranil omezení týkající se útoků na kritickou infrastrukturu. Gang nyní explicitně povoluje svým partnerům útočit na jaderné elektrárny, tepelné elektrárny, vodní elektrárny a podobná zařízení.
Tato změna pravidel platí do doby, než se gang dohodne s FBI na seznamu zakázaných cílů. Pokud pravidla zůstávají nezměněná, znamená to podle LockBitu, že FBI k nim dosud nepřistoupila s žádnou nabídkou.
Trojice DragonForce, LockBit a Qilin není jediná, kdo vsadil na spolupráci. Tři další kyberzločinecké kolektivy - Scattered Spider, ShinyHunters a Lapsus$ - se spojily pod novým názvem Scattered Lapsus$ Hunters.
Minulý měsíc tato skupina spustila nový web pro zveřejňování ukradených dat, na kterém se objevila data 39 firem využívajících prostředí Salesforce. Skupina tvrdí, že ukradla téměř miliardu záznamů a požaduje výkupné za to, že je nezveřejní. Firma Salesforce vyjednávat odmítla.
Mohlo by vás zajímat
Ransomwarový byznys prochází změnami
Celkový počet aktivních webů pro zveřejňování ukradených dat vzrostl na 81, což je výrazný nárůst oproti 51 na začátku loňského roku. Zajímavým trendem je také rozšiřování útoků do zemí jako Egypt, Thajsko a Kolumbie. Gangy expandují mimo tradiční cíle v Evropě a USA. Pravděpodobně proto, aby unikly pozornosti tamních orgánů. Nejvíce obětí však stále pochází z USA, Německa, Velké Británie, Kanady a Itálie.
Experti se shodují, že pokud koalice přetrvá, může to zásadně změnit oblast kybernetických hrozeb. Větší koordinace by mohla vést k rozsáhlejším kampaním, lepším vyděračským taktikám a většímu tlaku na oběti.
Na druhou stranu historicky se ransomwarovým gangům nedařilo udržovat dlouhodobá partnerství kvůli konkurenčním finančním zájmům, kulturním rozdílům a nedůvěře ohledně dělení zisku. Zda tato nová aliance vydrží, ukáže čas.
Organizace by každopádně měly zvýšit ostražitost, investovat do monitoringu ukradených přihlašovacích údajů na darknetu a posílit zabezpečení vstupních bodů, které gangy nejčastěji zneužívají – RDP, VPN a neopravené zranitelnosti v síťových zařízeních.
Zdroj: X, The Register, The Hacker News, Security affairs
