Um provedor de serviços gerenciados (MSP) recentemente sofreu um ataque cibernético, no qual os criminosos se aproveitaram de vulnerabilidades no software de monitoramento remoto SimpleHelp para disseminar o ransomware DragonForce em vários de seus clientes, conforme divulgado em um relatório pela Sophos.
Além disso, o setor de TI também presencia o fortalecimento das microcredenciais em IA, que estão aumentando as chances de candidatos no mercado de trabalho.
Outro ponto de alerta é a invasão de redes de uma empresa de backup por hackers chineses.
De acordo com a análise realizada, os criminosos exploraram três vulnerabilidades específicas identificadas em janeiro de 2025: uma de travessia de múltiplos caminhos (CVE-2024-57727), uma de upload arbitrário de arquivos (CVE-2024-57728) e uma de escalonamento de privilégios (CVE-2024-57726).
A estratégia culminou na instalação remota do ransomware via o SimpleHelp mantido pelo MSP e possibilitou o acesso a informações sensíveis como nomes de dispositivos, usuários e configurações da rede.
O DragonForce opera numa modalidade conhecida como ransomware as a service, buscando se estabelecer no mercado ilegal como um cartel e atrair parceiros qualificados.
Neste ano, os operadores deste ransomware afirmaram ter assumido o controle sobre a infraestrutura do RansomHub, sendo adotados por agentes notórios como o Scattered Spider para promover invasões de grande escala, especialmente direcionadas a redes no Reino Unido e nos EUA.
A Sophos conseguiu identificar a ação maliciosa após perceber uma instalação suspeita do SimpleHelp.
Em um cliente do MSP que contava com uma solução Sophos de detecção e resposta a incidentes, o ataque foi prontamente bloqueado, evitando a criptografia dos dados ou qualquer tentativa de exfiltração.
Infelizmente, os clientes que não possuíam um nível adequado de proteção acabaram sendo impactados.
O MSP, contudo, mobilizou a equipe de resposta rápida da Sophos para realizar a análise forense e iniciar a contenção do incidente.
Para auxiliar a comunidade, a Sophos informou que publicará os indicadores de comprometimento relacionados a este ataque no seu repositório no GitHub, facilitando a identificação e a prevenção de incidentes similares por parte de outras organizações.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...