La operación Ransomware DragonForce ha logrado violar un proveedor de servicios administrado y utilizar su plataforma de monitoreo remoto y administración remota de SimpleHelp (RMM) para robar datos y implementar el recinto en los sistemas de clientes aguas abajo.
Sophos fue llevado a investigar el ataque y cree que las partes interesadas de amenaza han explotado una cadena de vulnerabilidad simple simple seguida bajo el nombre de CVE-2024-57727, CVE-2024-57728 y CVE-2024-57726 para violar el sistema.
SimpleHelp es una herramienta de soporte y acceso comercial comúnmente utilizada por MSPS para administrar sistemas e implementar software en redes de clientes.
EL Informe de Sophos Dijo que los jugadores de amenaza usaron por primera vez SimpleHelp para llevar a cabo el reconocimiento de los sistemas de los clientes, como recopilar información sobre los clientes de MSP, incluidos los nombres periféricos y la configuración, los usuarios y las conexiones de red.
Las partes interesadas de la amenaza intentaron robar datos e implementar descifradores en las redes de clientes, que fueron bloqueadas en una de las redes utilizando la protección de los puntos finales de Sophos. Sin embargo, los otros clientes no tuvieron tanta suerte, con dispositivos cifrados y datos robados para ataques de doble extensión.
Sophos A COI compartido Vinculado a este ataque para ayudar a las organizaciones a defender mejor sus redes.
Los MSP han sido durante mucho tiempo un objetivo precioso para las pandillas de ransomware, ya que una violación única puede conducir a ataques a varias compañías. Algunos afiliados de ransomware se han especializado en las herramientas comúnmente utilizadas por los MSP, como SimpleHelp, Connectwise Screenconnect y Kaseya.
Esto llevó a ataques devastadores, incluido el ataque masivo contra Revil Ransomware contra Kaseya, que tuvo un impacto en 1,000 empresas.
Dragonforce gana notoriedad después de los ataques minoristas en el Reino Unido
La pandilla de Ransomware Dragonforce aumentó recientemente en notoriedad después de estar vinculada a una ola de violaciones minoristas de alto nivel que involucran a actores de amenazas utilizando tácticas de araña dispersas.
Según lo informado por Bleeping Composted por primera vez, el ransomware del grupo se desplegó durante los ataques contra el represal del Reino Unido Marks & Spencer. Poco después, la misma amenaza que los actores violaron a otro minorista británico, Coop, quien confirmó que se había robado una gran cantidad de datos de clientes.
BleepingComputter informó previamente que Dragonforce estaba tratando de construir un “cartel” ofreciendo un modelo de rescate como servicio (RAAS) de Ransomware-A-A-Service, lo que permite a los afiliados implementar versiones renombradas de su cifrador.
Con su enfoque cada vez más afiliado y su creciente lista de víctimas, Dragonforce rápidamente se convirtió en un jugador importante en el panorama del ransomware.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.