Los actores de amenaza detrás del ransomware de DragonForce obtuvieron acercamiento a la útil de monitorización y delegación de control remoto (RMM) de SimpleHelp Monitoring and Monitoring (RMM) de un proveedor de servicios administrado sin nombre (MSP), y luego la aprovecharon para exfiltrar datos y soltar el bloqueador en múltiples puntos finales.
Se cree que los atacantes explotaron un trío de fallas de seguridad en SimpleHelp (CVE-2024-57727, CVE-2024-57728 y CVE-2024-57726) que se revelaron en enero de 2025 para ceder a la implementación de SimpleHelp de MSP, según un estudio de Sophos.
La compañía de ciberseguridad dijo que fue alertado del incidente luego de una instalación sospechosa de un archivo de instalador SimpleHelp, presionado a través de una instancia legítima de SimpleHelp RMM que está alojada y operada por el MSP para sus clientes.
Incluso se ha incompatible que los actores de amenaza aprovechan su acercamiento a través de la instancia RMM del MSP para resumir información de diferentes entornos de clientes sobre nombres de dispositivos y configuración, usuarios y conexiones de red.
Aunque uno de los clientes del MSP pudo cerrar el acercamiento de los atacantes a la red, otros clientes aguas debajo se vieron afectados por el robo de datos y el ransomware, eventualmente allanando el camino para ataques de doble molestia.
El ataque de la sujeción de suministro MSP arroja luz sobre la artesanía en progreso de un colección que se ha posicionado como una de las opciones más lucrativas para los actores afiliados en el mundo del delito cibernético al ofrecer una billete de ganancias conveniente.
Dragonforce, en los últimos meses, ha yeguada tracción por su renovación de un «cartel» de ransomware y su locución a un nuevo maniquí de marca de afiliados que permite que otros ciberdelincuentes generen sus propias versiones del casillero con diferentes nombres.
La aparición del cartel coincidió con los defacimientos de los sitios de fuga operados por los grupos de ransomware Blacklock y Mamona, y lo que parece ser una «adquisición hostil» de Ransomhub, un prolífico equipo de delitos electrónicos que despegó posteriormente de la desaparición de Lockbit y Blackcat el año pasado.
Una serie de ataques dirigidos al sector minorista del Reino Unido desde finales del mes pasado ha traído más atención al actor de amenazas. Los ataques, según la BBC, han provocado que las empresas afectadas cierren partes de sus sistemas de TI.
«Si proporcionadamente Dragonforce se atribuyó el crédito por la grado de molestia y fuga de datos, la creciente evidencia sugiere que otro colección, disperso Spider, puede sobrevenir jugado un papel fundamental en la facultad de esos ataques», dijo Cyberint. «Conocido por sus métodos de intrusión centrados en la cirro, la araña dispersa, está emergiendo como un probable corredor de acercamiento o colaborador en el interior del maniquí afiliado de Dragonforce».
La araña dispersa, que es parte de un colectivo suelto más magnate conocido como COM, ha seguido siendo un enigma a pesar de los valentía de presuntos miembros en 2024, que carecen de visibilidad sobre cómo los jóvenes del Reino Unido y los Estados Unidos son reclutados en la red criminal.
Estos hallazgos apuntan a un paisaje volátil donde los grupos de ransomware son cada vez más fragmentantes, descentralizados y luchando contra la honradez de muerto afiliación. A la preocupación es el uso creciente de la inteligencia fabricado (IA) en el exposición de malware y la escalera de campaña.
«Dragonforce no es solo otra marca de ransomware: es una fuerza desestabilizadora que intenta remodelar el panorama de ransomware», dijo Aiden Sinnott, investigador senior de amenazas de la Dispositivo de Amenazas de Sophos Counter.
«Mientras que en el Reino Unido, el colección ha dominado los titulares recientes posteriormente de ataques de detención perfil a los minoristas, detrás de imagen del ecosistema de ransomware parece sobrevenir algunos empuje entre los grupos de TI y E-Crime, como Ransomhub. Como el ecosistema continúa evolucionando rápidamente posteriormente de la matanza de Lockbit, esta ‘Pelea de Turf’ destaca los esfuerzos de este colección, en particular, a la afirmación, a la afirmación, a la afirmación.
Lockbit sufrió un importante revés activo posteriormente de que su infraestructura fue desmantelada a principios de 2024 como parte de una acto internacional de aplicación de la ley emplazamiento Operación Cronos.
Aunque el colección logró reedificar y reanudar sus actividades hasta cierto punto, se trató con otro adversidad a principios de este mes posteriormente de que sus paneles de afiliados de la web oscura fueron desfigurados para incluir un enlace a un volcado de colchoneta de datos que contenía miles de chats de negociación, construcciones personalizadas y su trabajo en un panel de lite Lockbit de nivel más bajo.
«Desde registros de chat y registros de construcción de ransomware, hasta configuraciones de afiliados y demandas de rescate, los datos muestran que Lockbit está proporcionadamente organizado y metódico», dijo Ontinue en un escrito profundo de la fuga. «Los afiliados juegan un papel importante en la personalización de los ataques, exigen el cuota y la negociación con las víctimas».
El exposición se produce cuando los atacantes de múltiples grupos, incluido el ransomware 3am, están utilizando una combinación de bombardeos por correo electrónico y vishing para violar las redes de las empresas haciéndose producirse por un soporte técnico para engañar a los empleados e ingeniería social para que otorgue acercamiento remoto a sus computadoras utilizando Microsoft Quick Assist.
Luego se abusa del acercamiento auténtico para eliminar cargas avíos adicionales, incluida una puerta trasera de túneles de red emplazamiento Qdoor que permite a los atacantes establecer un punto de apoyo en la red sin atraer ninguna atención. Vale la pena señalar que la puerta trasera se observó previamente en los ataques con trajes negros y ransomware gato montés.
Sophos dijo que si proporcionadamente el ataque de ransomware fue frustrado en última instancia, los atacantes lograron robar datos y detenerse en la red durante nueve días antiguamente de intentar editar el casillero,
«La combinación de bombardeos de vishado y correo electrónico sigue siendo una combinación potente y efectiva para los atacantes de ransomware, y el colección de ransomware 3am ahora ha incompatible una guisa de beneficiarse el oculto remoto para mantenerse fuera de la panorama del software de seguridad tradicional», dijo Sean Gallagher, investigador principal de amenazas de Sophos.
«Para mantenerse seguras, las empresas deben priorizar la conciencia de los empleados y impedir estrictamente el acercamiento remoto. Esto incluye el uso de políticas para encerrar la ejecución de máquinas virtuales y el software de acercamiento remoto en las computadoras que no deberían tener dicho software. Adicionalmente, las empresas deben encerrar todo el tráfico de red entrante y saliente asociado con el control remoto, excepto desde los sistemas designados para acercamiento remoto».
