A operação de ransomware DragonForce conseguiu penetrar em um provedor de serviços gerenciados (MSP) e utilizou a plataforma SimpleHelp de monitoramento remoto e gerenciamento (RMM) para roubar dados e implantar criptografadores nos sistemas de clientes downstream.
A Sophos foi chamada para investigar o ataque e acredita que os atores de ameaças exploraram uma cadeia de vulnerabilidades antigas do SimpleHelp, rastreadas como CVE-2024-57727, CVE-2024-57728 e CVE-2024-57726, para violar o sistema.
O SimpleHelp é uma ferramenta comercial de suporte remoto e acesso comumente usada pelos MSPs para gerenciar sistemas e implantar software em redes de clientes.
O relatório da Sophos diz que os atores de ameaças primeiro utilizaram o SimpleHelp para realizar reconhecimento nos sistemas dos clientes, como coletar informações sobre os clientes do MSP, incluindo nomes de dispositivos e configuração, usuários e conexões de rede.
Os atores de ameaças então tentaram roubar dados e implantar decodificadores nas redes de clientes, o que foi bloqueado em uma das redes usando a proteção de endpoint da Sophos.
No entanto, os outros clientes não tiveram a mesma sorte, com dispositivos criptografados e dados roubados para ataques de dupla extorsão.
A Sophos compartilhou IOCs relacionados a este ataque para ajudar as organizações a defenderem melhor suas redes.
Os MSPs têm sido há muito tempo um alvo valioso para gangues de ransomware, pois uma única violação pode levar a ataques em várias empresas.
Alguns afiliados de ransomware se especializaram em ferramentas comumente usadas pelos MSPs, como SimpleHelp, ConnectWise ScreenConnect e Kaseya.
Isso levou a ataques devastadores, incluindo o massivo ataque de ransomware da REvil na Kaseya, que impactou mais de 1.000 empresas.
A gangue de ransomware DragonForce recentemente ganhou notoriedade após ser vinculada a uma onda de violações de varejo de alto perfil envolvendo atores de ameaças que utilizam táticas de Scattered Spider.
Logo após, os mesmos atores de ameaças violaram outro varejista do Reino Unido, a Co-op, que confirmou o roubo de uma quantidade significativa de dados de clientes.
O site BleepingComputer relatou anteriormente que o DragonForce está tentando construir um "cartel" ao oferecer um modelo de ransomware-as-a-service (RaaS) de marca branca, permitindo que afiliados implantem versões renomeadas de seu criptografador.
Com sua abordagem cada vez mais amigável a afiliados e uma lista crescente de vítimas, o DragonForce está rapidamente se tornando um importante ator no cenário de ransomware.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...