O DragonForce não busca mais ser apenas mais uma quadrilha de ransomware. Sua meta é virar a infraestrutura que permite que vários grupos disparem ataques sob suas próprias bandeiras, dando o pontapé inicial numa nova fase do cibercrime organizado.
No fim de 2025, aqui na ESET já tínhamos analisado as três tendências para ficar de olho em 2026. Sobre o ransomware, a nossa aposta era: "ele não vai sumir, vai continuar se reinventando".
O que está acontecendo com o DragonForce confirma exatamente isso, porque, mais do que um grupo novo de ransomware, ele representa a consolidação de uma tendência: a passagem do ransomware como malware para o ransomware como plataforma de serviços criminosos. Os primeiros registros de atividade do DragonForce remontam à segunda metade de 2023. E o grupo saiu de um modelo de ransomware as a service para adotar o que seus próprios operadores chamam de "cartel".
O que isso quer dizer, na prática? Hoje, o DragonForce oferece toda a infraestrutura para que outros grupos operem dentro da sua plataforma: painéis de administração, sites de vazamento, sistemas de negociação e ferramentas para gerenciar as vítimas. Além disso, ainda dão suporte técnico para os afiliados.
A seguir, vamos analisar a evolução do DragonForce, como ele se transformou numa plataforma criminosa para múltiplos grupos afiliados, de que forma ele potencializa o ecossistema do cibercrime e quais alertas isso acende para as empresas.
O que é o DragonForce?
O DragonForce surgiu na cena do cibercrime na segunda metade de 2023 como um grupo de ransomware as a service. O primeiro registro de atividade dele é de dezembro de 2023, e desde então (até hoje) já acumula quase 600 vítimas em mais de 60 países, segundo os registros públicos reunidos pelo ransomware.live.
Embora os Estados Unidos sejam o principal alvo (com quase 300 incidentes registrados), o grupo também soma vítimas no Canadá, na Austrália e no Reino Unido, entre vários outros países. Na América Latina, contabiliza ataques no Brasil, na Argentina, na Colômbia, no México, na Costa Rica, na Guatemala e na República Dominicana.
Imagem 1. Incidência dos ataques do DragonForce no mundo. Fonte: ransomware.live.
Em 2025, depois das operações que desmantelaram o LockBit e outros grupos de ransomware, o DragonForce elevou o próprio patamar com uma estratégia agressiva para recrutar afiliados. Como? Oferecendo não só o malware e a infraestrutura necessários para disparar ataques, mas também porcentagens de lucro melhores (chegando perto de 80% em alguns casos) e mais anonimato. Mas a verdadeira novidade ainda estava por vir.
A evolução: de RaaS a autodenominado "cartel"
Em 2025, o DragonForce começou a se autodenominar cartel. Longe de ser só uma declaração jogada ao vento, isso marcou uma virada profunda, que ajudou a redesenhar todo o panorama do ransomware.
O DragonForce deixou de exigir que seus afiliados usassem o ransomware da casa e passou a oferecer um pacote bem mais completo: uma infraestrutura inteira para que os grupos possam operar dentro da plataforma, com painéis de administração, sites de vazamento, sistemas de negociação, ferramentas de gestão de vítimas e até suporte técnico.
Entre os serviços oferecidos, destacam-se a análise de dados para extorsão (uma espécie de auditoria de tudo o que foi roubado das vítimas) e a entrega de um "kit de extorsão", com listas de contatos telefônicos para pressionar diretores e detalhes sobre o possível impacto regulatório que a empresa pode sofrer caso não pague o resgate.
Nesse novo ecossistema do ransomware, as quadrilhas não competem mais só por vítimas e afiliados, mas também por reputação e controle de infraestrutura. É aí que o DragonForce tenta se posicionar como um cartel que fornece tudo o que é preciso para sustentar vários grupos de ransomware, sem que eles percam a própria identidade.
Um dos elementos que torna essa estratégia possível é o modelo de negócio White-Label, no qual outros grupos podem usar a infraestrutura do DragonForce mantendo a própria "marca". Esse, sem dúvida, é o grande diferencial do grupo.
O modelo White-Label: a sacada do DragonForce
O já citado modelo White-Label é uma das grandes chaves para o crescimento e a evolução dessa quadrilha de ransomware.
Em vez de obrigar os afiliados a usarem a marca DragonForce, o grupo os incentiva a manter a própria identidade e criar seus selos criminosos independentes, mas usando a infraestrutura, as ferramentas e o suporte técnico do DragonForce.
Em outras palavras, é um dos exemplos mais claros da evolução do modelo RaaS, porque o grupo já não vende só ransomware, e sim uma infraestrutura completa dedicada ao cibercrime.
Na prática, isso significa que um afiliado pode usar os servidores, aproveitar o painel de negociação, se beneficiar do site de vazamento de dados ou contar com o suporte técnico, sem precisar assinar os ataques como DragonForce. Assim, a vítima pode nem perceber que, por trás do ataque, está a infraestrutura do DragonForce.
Como isso afeta a segurança das empresas?
Atualmente, o DragonForce oferece um ecossistema para que diversos grupos cibercriminosos possam operar, o que tem um impacto direto e nada sutil na segurança das empresas.
Primeiro, porque um cibercriminoso com pouco conhecimento técnico consegue lançar a própria "marca" de ransomware sem precisar desenvolver malware nem montar uma infraestrutura do zero. Isso acelera a profissionalização e a expansão do cibercrime.
Além disso, fica mais difícil atribuir os ataques. Nesse cenário, dois grupos diferentes podem compartilhar ferramentas e servidores, o que complica ainda mais descobrir quem está realmente por trás de cada ataque. E isso também deixa o ecossistema criminoso mais resiliente, porque, se um grupo for desmantelado, outro pode rapidamente ocupar o lugar dele usando essa mesma infraestrutura.
Por outro lado, o DragonForce não entrega só o ransomware: também coloca à disposição dos afiliados vários serviços extras, como a análise dos dados roubados e kits de pressão. Isso não só aumenta as chances de as vítimas pagarem, como também eleva o nível de sofisticação das campanhas de extorsão.
O que vem a seguir para o ransomware
Em resumo, o verdadeiro risco do DragonForce não está no surgimento de mais um ransomware, e sim de um modelo de negócio criminoso, que transforma o ransomware num serviço escalável, descentralizado e muito mais difícil de desmontar.
E, se a última década do ransomware foi dominada por grandes quadrilhas, a próxima etapa pode ser definida por plataformas criminosas capazes de sustentar dezenas de grupos diferentes. O DragonForce é, provavelmente, o exemplo mais nítido dessa transformação.




