La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) reveló el jueves que los actores de ransomware se dirigen a instancias de monitorización y empresa remota de SimpleHelp Remote (RMM) para comprometer a los clientes de un proveedor de software de facturación de servicios públicos no identificados.
«Este incidente refleja un patrón más amplio de actores de ransomware que se dirigen a organizaciones a través de versiones sin parpadear de SimpleHelp RMM desde enero de 2025», dijo la agencia en un aviso.
A principios de este año, SimpleHelp reveló un conjunto de fallas (CVE-2024-57727, CVE-2024-57728 y CVE-2024-57726) que podrían dar oficio a una divulgación de información, una subida privilegiada y una ejecución de código remoto.
Desde entonces, las vulnerabilidades se han cliché en la naturaleza, incluso por grupos de ransomware como Dragonforce, para violar objetivos de interés. El mes pasado, Sophos reveló que el actor de amenazas accedió a la SimpleHelp de un proveedor de servicios administrados implementada por el actor de amenazas utilizando estos defectos, y luego lo aprovechó para que pivote a otros clientes aguas debajo.
CISA dijo que las versiones SimpleHelp 5.5.7 y anteriores contienen múltiples vulnerabilidades, incluidas CVE-2024-57727, y que los equipos de ransomware lo están explotando para alcanzar a las instancias simples de SimpleHelp de los clientes aguas debajo para ataques de doble trastorno.
La agencia ha esbozado las siguientes mitigaciones que las organizaciones, incluidos los proveedores de servicios de terceros que hacen uso de SimpleHelp para conectarse a los clientes aguas debajo, pueden implementar mejor para reponer a la actividad de ransomware –
- Identificar y aislar instancias de servidor SimpleHelp de Internet y actualizarlas a la última interpretación
- Notifique a los clientes aguas debajo y les indique que tomen medidas para consolidar sus puntos finales
- Realice acciones de caza de amenazas para indicadores de compromiso y monitoreo de tráfico inusual entrante y saliente desde el servidor SimpleHelp (para clientes aguas debajo)
- Desconecte los sistemas afectados de Internet si han sido encriptados por ransomware, reinstalar el sistema activo y restaurar los datos de una copia de seguridad limpia
- Amparar copias de seguridad de aseo periódica y fuera de segmento
- Apartarse de exponer servicios remotos como el protocolo de escritorio remoto (RDP) en la web
CISA dijo que no alienta a las víctimas a remunerar rescates, ya que no hay fianza de que el descifrador proporcionado por los actores de amenaza ayude a recuperar los archivos.
«Por otra parte, el plazo igualmente puede completar adversarios para dirigirse a organizaciones adicionales, alentar a otros actores penales a participar en la distribución de ransomware y/o financiar actividades ilícitas», agregó CISA.
Ataque de ransomware de niebla implementa software de monitoreo de empleados
El incremento se produce cuando Symantec, propiedad de Broadcom, detalló un ataque de ransomware de niebla dirigida a una institución financiera no identificada en Asia con una combinación de herramientas pentesteras de código franco y de código franco que no se observan en otras intrusiones relacionadas con el ransomware.
FOG es una modificación de ransomware detectada por primera vez en mayo de 2024. Al igual que otras operaciones de ransomware, la tripulación motivada financieramente emplea las credenciales de red privada posible (VPN) comprometidas y las vulnerabilidades del sistema para obtener ataque a la red de una ordenamiento y en los datos de enigmático, pero no antaño de extenderlo.
Las secuencias de infección alternativas han empleado archivos de Windows Presente (LNK) contenidos en los archivos ZIP, que luego se distribuyen por correo electrónico y ataques de phishing. La ejecución del archivo LNK conduce a la descarga de un script de PowerShell que es responsable de dejar caer un cargador de ransomware que contiene la carga útil del casillero de niebla.
Los ataques igualmente se caracterizan por el uso de técnicas avanzadas para aumentar los privilegios y eludir la detección al implementar el código ladino directamente en la memoria y deshabilitar las herramientas de seguridad. FOG es capaz de apuntar a los puntos finales de Windows y Linux.
Según Trend Micro, a partir de abril de 2025, los actores de amenaza de niebla han reclamado 100 víctimas en su sitio de fuga de datos desde el eclosión del año, con la mayoría de las víctimas asociadas con la tecnología, la educación, la fabricación y los sectores de transporte.
«Los atacantes utilizaron un software seguro de monitoreo de empleados llamado Syteca (anteriormente Ekran), que es muy inusual», dijo Symantec. «Todavía implementaron varias herramientas de prueba de pluma de código franco: GC2, Adaptix y Stowaway, que no se usan comúnmente durante los ataques de ransomware».
Si acertadamente se desconoce el vector de ataque original exacto utilizado en el incidente, se ha enemigo que los actores de amenaza usan Stowaway, una aparejo proxy ampliamente utilizada por los grupos de piratería chinos, para entregar Syteca. Vale la pena señalar que GC2 se ha utilizado en ataques llevados a extremo por el reunión de piratería patrocinado por el estado chino APT41 en 2023.
Todavía se descargaron programas legítimos como 7-ZIP, FreeFilesync y Megasync para crear archivos de datos comprimidos para la exfiltración de datos.
Otro aspecto interesante de los ataques es que los atacantes crearon un servicio para establecer la persistencia en la red, varios días luego de que se implementó el ransomware. Se dice que los actores de amenaza pasaron unas dos semanas antaño de dejar caer el ransomware.
«Este es un paso inusual para ver en un ataque de ransomware, con actividades maliciosas que generalmente cesan en una red una vez que los atacantes han exfiltrado datos e desplegaron el ransomware, pero los atacantes en este incidente parecían desear retener el ataque a la red de la víctima», dijeron los investigadores de Symantec y Carbon Black.
Las tácticas poco comunes han planteado la posibilidad de que la compañía haya sido atacada por razones de espionaje, y que los actores de amenaza desplegaron el ransomware de niebla como una distracción para embozar sus verdaderos objetivos o cobrar efectivo rápido.
La fuga del panel de Lockbit revela a China entre la más dirigida
Los hallazgos igualmente coinciden con las revelaciones de que el esquema Lockbit Ransomware como Service (RAAS) anotó más o menos de $ 2.3 millones en los últimos seis meses, lo que indica que el reunión de delitos electrónicos continúa operando a pesar de varios contratiempos.
Por otra parte, el estudio de Trellix sobre la orientación geográfica de Lockbit desde diciembre de 2024 hasta abril de 2025 basada en la fuga del panel administrador de mayo de 2025 ha descubierto que China es uno de los países más dirigidos por los afiliados Iofikdis, Piotrbond y Jamescraig. Otros objetivos prominentes incluyen Taiwán, Brasil y Turquía.
«La concentración de ataques en China sugiere un enfoque significativo en este mercado, posiblemente adecuado a su gran cojín industrial y sector manufacturero», dijo el investigador de seguridad Jambul Tologonov.
«A diferencia de los grupos Black Puntada y Conti Raas que ocasionalmente sondean los objetivos chinos sin encriptarlos, Lockbit parece dispuesto a tratar en el interior de las fronteras chinas y no tiene en cuenta las posibles consecuencias políticas, marcando una desajuste interesante en su enfoque».
La filtración del panel de afiliados igualmente ha llevado a Lockbit a anunciar una premio monetaria por información verificable sobre «Xoxo de Praga», un actor secreto que se atribuyó la responsabilidad de la filtración.
Por otra parte de eso, Lockbit parece haberse presbítero de la descontinuación repentina de Ransomhub con destino a fines de marzo de 2025, lo que provoca que algunas de las afiliadas de este final, incluidos Baleybeach y Guillaumeatkinson, a la transición a Lockbit y lo obligen a reactivar sus operaciones amid en curso para desarrollar la próxima interpretación de Ransomware, Lockbit 5.0.
«Lo que esta fuga verdaderamente muestra es la efectividad compleja y, en última instancia, menos glamorosa de sus actividades ilícitas de ransomware. Aunque es rentable, está acullá de la operación perfectamente orquestada y masivamente lucrativa que les gustaría que el mundo crea que es», concluyó Tologonov.
