SimpleHelp kihasználása
A Sophos jelentése szerint a DragonForce nevű ransomware-csoport célzott támadást hajtott végre egy menedzselt szolgáltató (MSP) ellen, kihasználva a SimpleHelp távoli felügyeleti és menedzsment (RMM) eszközben található sebezhetőségeket. A támadók a SimpleHelp rendszeren keresztül több ügyfélhálózathoz is hozzáférést szereztek, ahol DragonForce ransomware-t telepítettek, valamint érzékeny adatokat szivárogtattak ki, alkalmazva a kettős zsarolás taktikáját.
A Sophos közepes biztonsággal állapította meg, hogy a támadók egy 2025 januárjában nyilvánosságra hozott sebezhetőségi láncot használtak ki, köztük a CVE-2024-57727, CVE-2024-57728, CVE-2024-57726 azonosított sérülékenységeket.
A támadás során a DragonForce csoport a SimpleHelp RMM eszközön keresztül telepítette a ransomware-t az MSP ügyfeleinek rendszereire, valamint adatokat gyűjtött a kezelt eszközökről, felhasználókról és hálózati kapcsolatokról. Egy ügyfél, aki a Sophos MDR szolgáltatását használta, sikeresen blokkolta a támadást a Sophos XDR végpontvédelmi megoldás és a viselkedésalapú észlelés kombinációjával. Azonban azok az ügyfelek, akik nem rendelkeztek ilyen védelemmel, áldozatul estek a ransomware-nek és az adatlopásnak.
A DragonForce ransomware egy fejlett, versenyképes ransomware-as-a-service (RaaS) platform, amely 2023 közepén jelent meg. A csoport 2025 márciusában kezdte el magát kartellként újrapozicionálni, és áttért egy elosztott affiliate branding modellre. A jelentések szerint a DragonForce átvette a RansomHub infrastruktúráját, és olyan ismert ransomware-affiliáltak, mint a Scattered Spider (UNC3944), akik korábban a RansomHubbal dolgoztak, most a DragonForce-t használják támadásaikhoz, különösen az Egyesült Királyságban és az Egyesült Államokban működő nagy kiskereskedelmi láncok ellen.
A Sophos MDR csapata észlelte a gyanús SimpleHelp telepítő fájlokat, amelyeket az MSP legitim RMM példányán keresztül terjesztettek. A támadók ezen keresztül információkat gyűjtöttek az MSP által kezelt ügyfélrendszerekről, beleértve az eszközneveket, konfigurációkat, felhasználókat és hálózati kapcsolatokat. Az MSP, amely nem rendelkezett Sophos MDR védelemmel, a támadás után a Sophos Rapid Response szolgáltatását vette igénybe digitális igazságügyi vizsgálat és incidensreagálás céljából.
