La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) reveló el jueves que los actores de ransomware se dirigen a instancias de monitorización y delegación remota de SimpleHelp Remote (RMM) para comprometer a los clientes de un proveedor de software de facturación de servicios públicos no identificados.
“Este incidente refleja un patrón más amplio de actores de ransomware que se dirigen a organizaciones a través de versiones sin parpadear de SimpleHelp RMM desde enero de 2025”, dijo la agencia en un aviso.
A principios de este año, SimpleHelp reveló un conjunto de fallas (CVE-2024-57727, CVE-2024-57728 y CVE-2024-57726) que podrían dar extensión a una divulgación de información, una ascensión privilegiada y una ejecución de código remoto.
Desde entonces, las vulnerabilidades se han cliché en la naturaleza, incluso por grupos de ransomware como Dragonforce, para violar objetivos de interés. El mes pasado, Sophos reveló que el actor de amenazas accedió a la SimpleHelp de un proveedor de servicios administrados implementada por el actor de amenazas utilizando estos defectos, y luego lo aprovechó para que pivote a otros clientes aguas debajo.
CISA dijo que las versiones SimpleHelp 5.5.7 y anteriores contienen múltiples vulnerabilidades, incluidas CVE-2024-57727, y que los equipos de ransomware lo están explotando para ingresar a las instancias simples de SimpleHelp de los clientes aguas debajo para ataques de doble trastorno.
La agencia ha esbozado las siguientes mitigaciones que las organizaciones, incluidos los proveedores de servicios de terceros que hacen uso de SimpleHelp para conectarse a los clientes aguas debajo, pueden implementar mejor para contestar a la actividad de ransomware –
- Identificar y aislar instancias de servidor SimpleHelp de Internet y actualizarlas a la última interpretación
- Notifique a los clientes aguas debajo y les indique que tomen medidas para fijar sus puntos finales
- Realice acciones de caza de amenazas para indicadores de compromiso y monitoreo de tráfico inusual entrante y saliente desde el servidor SimpleHelp (para clientes aguas debajo)
- Desconecte los sistemas afectados de Internet si han sido encriptados por ransomware, reinstalar el sistema eficaz y restaurar los datos de una copia de seguridad limpia
- Amparar copias de seguridad de castidad periódica y fuera de diámetro
- Sustraerse de exponer servicios remotos como el protocolo de escritorio remoto (RDP) en la web
CISA dijo que no alienta a las víctimas a enriquecer rescates, ya que no hay señal de que el descifrador proporcionado por los actores de amenaza ayude a recuperar los archivos.
“Por otra parte, el suscripción todavía puede completar adversarios para dirigirse a organizaciones adicionales, alentar a otros actores penales a participar en la distribución de ransomware y/o financiar actividades ilícitas”, agregó CISA.
Ataque de ransomware de niebla implementa software de monitoreo de empleados
El expansión se produce cuando Symantec, propiedad de Broadcom, detalló un ataque de ransomware de niebla dirigida a una institución financiera no identificada en Asia con una combinación de herramientas pentesteras de código extenso y de código extenso que no se observan en otras intrusiones relacionadas con el ransomware.
FOG es una reforma de ransomware detectada por primera vez en mayo de 2024. Al igual que otras operaciones de ransomware, la tripulación motivada financieramente emplea las credenciales de red privada posible (VPN) comprometidas y las vulnerabilidades del sistema para obtener camino a la red de una ordenamiento y en los datos de enigmático, pero no ayer de extenderlo.
Las secuencias de infección alternativas han empleado archivos de Windows Contemporáneo (LNK) contenidos en los archivos ZIP, que luego se distribuyen por correo electrónico y ataques de phishing. La ejecución del archivo LNK conduce a la descarga de un script de PowerShell que es responsable de dejar caer un cargador de ransomware que contiene la carga útil del casillero de niebla.
Los ataques todavía se caracterizan por el uso de técnicas avanzadas para aumentar los privilegios y esquivar la detección al implementar el código receloso directamente en la memoria y deshabilitar las herramientas de seguridad. FOG es capaz de apuntar a los puntos finales de Windows y Linux.
Según Trend Micro, a partir de abril de 2025, los actores de amenaza de niebla han reclamado 100 víctimas en su sitio de fuga de datos desde el aparición del año, con la mayoría de las víctimas asociadas con la tecnología, la educación, la fabricación y los sectores de transporte.
“Los atacantes utilizaron un software oficial de monitoreo de empleados llamado Syteca (anteriormente Ekran), que es muy inusual”, dijo Symantec. “Además implementaron varias herramientas de prueba de pluma de código extenso: GC2, Adaptix y Stowaway, que no se usan comúnmente durante los ataques de ransomware”.
Si aceptablemente se desconoce el vector de camino original exacto utilizado en el incidente, se ha enfrentado que los actores de amenaza usan Stowaway, una utensilio proxy ampliamente utilizada por los grupos de piratería chinos, para entregar Syteca. Vale la pena señalar que GC2 se ha utilizado en ataques llevados a lugar por el agrupación de piratería patrocinado por el estado chino APT41 en 2023.
Además se descargaron programas legítimos como 7-ZIP, FreeFilesync y Megasync para crear archivos de datos comprimidos para la exfiltración de datos.
Otro aspecto interesante de los ataques es que los atacantes crearon un servicio para establecer la persistencia en la red, varios días a posteriori de que se implementó el ransomware. Se dice que los actores de amenaza pasaron unas dos semanas ayer de dejar caer el ransomware.
“Este es un paso inusual para ver en un ataque de ransomware, con actividades maliciosas que generalmente cesan en una red una vez que los atacantes han exfiltrado datos e desplegaron el ransomware, pero los atacantes en este incidente parecían desear retener el camino a la red de la víctima”, dijeron los investigadores de Symantec y Carbon Black.
Las tácticas poco comunes han planteado la posibilidad de que la compañía haya sido atacada por razones de espionaje, y que los actores de amenaza desplegaron el ransomware de niebla como una distracción para embozar sus verdaderos objetivos o superar moneda rápido.
La fuga del panel de Lockbit revela a China entre la más dirigida
Los hallazgos todavía coinciden con las revelaciones de que el esquema Lockbit Ransomware como Service (RAAS) anotó rodeando de $ 2.3 millones en los últimos seis meses, lo que indica que el agrupación de delitos electrónicos continúa operando a pesar de varios contratiempos.
Por otra parte, el prospección de Trellix sobre la orientación geográfica de Lockbit desde diciembre de 2024 hasta abril de 2025 basada en la fuga del panel administrador de mayo de 2025 ha descubierto que China es uno de los países más dirigidos por los afiliados Iofikdis, Piotrbond y Jamescraig. Otros objetivos prominentes incluyen Taiwán, Brasil y Turquía.
“La concentración de ataques en China sugiere un enfoque significativo en este mercado, posiblemente correcto a su gran colchoneta industrial y sector manufacturero”, dijo el investigador de seguridad Jambul Tologonov.
“A diferencia de los grupos Black Hilván y Conti Raas que ocasionalmente sondean los objetivos chinos sin encriptarlos, Lockbit parece dispuesto a trabajar internamente de las fronteras chinas y no tiene en cuenta las posibles consecuencias políticas, marcando una desajuste interesante en su enfoque”.
La filtración del panel de afiliados todavía ha llevado a Lockbit a anunciar una remuneración monetaria por información verificable sobre “Xoxo de Praga”, un actor desconocido que se atribuyó la responsabilidad de la filtración.
Por otra parte de eso, Lockbit parece haberse presbítero de la descontinuación repentina de Ransomhub en torno a fines de marzo de 2025, lo que provoca que algunas de las afiliadas de este postrer, incluidos Baleybeach y Guillaumeatkinson, a la transición a Lockbit y lo obligen a reactivar sus operaciones amid en curso para desarrollar la próxima interpretación de Ransomware, Lockbit 5.0.
“Lo que esta fuga efectivamente muestra es la efectividad compleja y, en última instancia, menos glamorosa de sus actividades ilícitas de ransomware. Aunque es rentable, está remotamente de la operación perfectamente orquestada y masivamente lucrativa que les gustaría que el mundo crea que es”, concluyó Tologonov.
