Los actores de amenaza detrás del ransomware de DragonForce obtuvieron paso a la utensilio de monitorización y oficina de control remoto (RMM) de SimpleHelp Monitoring and Monitoring (RMM) de un proveedor de servicios administrado sin nombre (MSP), y luego la aprovecharon para exfiltrar datos y soltar el bloqueador en múltiples puntos finales.
Se cree que los atacantes explotaron un trío de fallas de seguridad en SimpleHelp (CVE-2024-57727, CVE-2024-57728 y CVE-2024-57726) que se revelaron en enero de 2025 para entrar a la implementación de SimpleHelp de MSP, según un prospección de Sophos.
La compañía de ciberseguridad dijo que fue alertado del incidente luego de una instalación sospechosa de un archivo de instalador SimpleHelp, presionado a través de una instancia legítima de SimpleHelp RMM que está alojada y operada por el MSP para sus clientes.
Incluso se ha antitético que los actores de amenaza aprovechan su paso a través de la instancia RMM del MSP para resumir información de diferentes entornos de clientes sobre nombres de dispositivos y configuración, usuarios y conexiones de red.
Aunque uno de los clientes del MSP pudo cerrar el paso de los atacantes a la red, otros clientes aguas debajo se vieron afectados por el robo de datos y el ransomware, eventualmente allanando el camino para ataques de doble molestia.
El ataque de la cautiverio de suministro MSP arroja luz sobre la artesanía en proceso de un corro que se ha posicionado como una de las opciones más lucrativas para los actores afiliados en el mundo del delito cibernético al ofrecer una billete de ganancias dispuesto.
Dragonforce, en los últimos meses, ha reses tracción por su renovación de un “cartel” de ransomware y su libramiento a un nuevo maniquí de marca de afiliados que permite que otros ciberdelincuentes generen sus propias versiones del casillero con diferentes nombres.
La aparición del cartel coincidió con los defacimientos de los sitios de fuga operados por los grupos de ransomware Blacklock y Mamona, y lo que parece ser una “adquisición hostil” de Ransomhub, un prolífico equipo de delitos electrónicos que despegó posteriormente de la desaparición de Lockbit y Blackcat el año pasado.
Una serie de ataques dirigidos al sector minorista del Reino Unido desde finales del mes pasado ha traído más atención al actor de amenazas. Los ataques, según la BBC, han provocado que las empresas afectadas cierren partes de sus sistemas de TI.
“Si acertadamente Dragonforce se atribuyó el crédito por la período de molestia y fuga de datos, la creciente evidencia sugiere que otro corro, disperso Spider, puede acaecer jugado un papel fundamental en la facultad de esos ataques”, dijo Cyberint. “Conocido por sus métodos de intrusión centrados en la cúmulo, la araña dispersa, está emergiendo como un probable corredor de paso o colaborador internamente del maniquí afiliado de Dragonforce”.
La araña dispersa, que es parte de un colectivo suelto más excelso conocido como COM, ha seguido siendo un enigma a pesar de los denuedo de presuntos miembros en 2024, que carecen de visibilidad sobre cómo los jóvenes del Reino Unido y los Estados Unidos son reclutados en la red criminal.
Estos hallazgos apuntan a un paisaje volátil donde los grupos de ransomware son cada vez más fragmentantes, descentralizados y luchando contra la devoción de desvaloración afiliación. A la preocupación es el uso creciente de la inteligencia sintético (IA) en el expansión de malware y la escalera de campaña.
“Dragonforce no es solo otra marca de ransomware: es una fuerza desestabilizadora que intenta remodelar el panorama de ransomware”, dijo Aiden Sinnott, investigador senior de amenazas de la Mecanismo de Amenazas de Sophos Counter.
“Mientras que en el Reino Unido, el corro ha dominado los titulares recientes posteriormente de ataques de parada perfil a los minoristas, detrás de decorado del ecosistema de ransomware parece acaecer algunos empuje entre los grupos de TI y E-Crime, como Ransomhub. Como el ecosistema continúa evolucionando rápidamente posteriormente de la exterminio de Lockbit, esta ‘Pelea de Turf’ destaca los esfuerzos de este corro, en particular, a la afirmación, a la afirmación, a la afirmación.
Lockbit sufrió un importante revés activo posteriormente de que su infraestructura fue desmantelada a principios de 2024 como parte de una energía internacional de aplicación de la ley emplazamiento Operación Cronos.
Aunque el corro logró recobrar y reanudar sus actividades hasta cierto punto, se trató con otro trastazo a principios de este mes posteriormente de que sus paneles de afiliados de la web oscura fueron desfigurados para incluir un enlace a un volcado de cojín de datos que contenía miles de chats de negociación, construcciones personalizadas y su trabajo en un panel de lite Lockbit de nivel más bajo.
“Desde registros de chat y registros de construcción de ransomware, hasta configuraciones de afiliados y demandas de rescate, los datos muestran que Lockbit está acertadamente organizado y metódico”, dijo Ontinue en un escrito intensivo de la fuga. “Los afiliados juegan un papel importante en la personalización de los ataques, exigen el cuota y la negociación con las víctimas”.
El expansión se produce cuando los atacantes de múltiples grupos, incluido el ransomware 3am, están utilizando una combinación de bombardeos por correo electrónico y vishing para violar las redes de las empresas haciéndose sobrevenir por un soporte técnico para engañar a los empleados e ingeniería social para que otorgue paso remoto a sus computadoras utilizando Microsoft Quick Assist.
Luego se abusa del paso original para eliminar cargas avíos adicionales, incluida una puerta trasera de túneles de red emplazamiento Qdoor que permite a los atacantes establecer un punto de apoyo en la red sin atraer ninguna atención. Vale la pena señalar que la puerta trasera se observó previamente en los ataques con trajes negros y ransomware gato montés.
Sophos dijo que si acertadamente el ataque de ransomware fue frustrado en última instancia, los atacantes lograron robar datos y detenerse en la red durante nueve días antaño de intentar editar el casillero,
“La combinación de bombardeos de vishado y correo electrónico sigue siendo una combinación potente y efectiva para los atacantes de ransomware, y el corro de ransomware 3am ahora ha antitético una modo de disfrutar el secreto remoto para mantenerse fuera de la panorama del software de seguridad tradicional”, dijo Sean Gallagher, investigador principal de amenazas de Sophos.
“Para mantenerse seguras, las empresas deben priorizar la conciencia de los empleados y condicionar estrictamente el paso remoto. Esto incluye el uso de políticas para cortar la ejecución de máquinas virtuales y el software de paso remoto en las computadoras que no deberían tener dicho software. Adicionalmente, las empresas deben cortar todo el tráfico de red entrante y saliente asociado con el control remoto, excepto desde los sistemas designados para paso remoto”.
