El actor de amenaza detrás del ransomware de DragonForce accedió a la herramienta SimpleHelp Remote Monitoring and Management (RMM) de un proveedor de servicios administrado (MSP) sin nombre (MSP) y la aprovechó para eliminar los datos y soltar bloqueos en múltiples puntos finales.
Según un análisis de Sophos, se cree que el atacante ha explotado un trío de defectos de seguridad de SimpleHelp (CVE-2024-57727, CVE-2024-57728 y CVE-2024-57726) divulgado en enero de 2025 para acceder a la implementación de SimpleHelp de MSP.
La compañía de seguridad cibernética dijo que se le advirtió de un incidente después de una instalación sospechosa de archivos de instalador SimpleHelp empujados a través de instancias legítimas de SimpleHelp RMM alojadas y operadas por MSP para sus clientes.
También se sabe que los actores de amenaza aprovechan el acceso a través de las instancias RMM de MSP para recopilar información de una variedad de entornos de clientes con respecto a los nombres y configuraciones de dispositivos, usuarios y conectividad de red.
Uno de los clientes de MSP pudo cerrar el acceso a la red del atacante, pero muchos otros clientes aguas abajo se vieron afectados por el robo de datos y el ransomware, allanando el camino para ataques de doble expansión.
Los ataques de la cadena de suministro de MSP arrojan luz sobre las marcas registradas en evolución de los grupos que se han posicionado como una de las opciones más lucrativas en el mundo del delito cibernético al proporcionar una participación positiva en las ganancias.
Dragonforce ha obtenido mejoras en el «cartel» de ransomware y un pivote para un nuevo modelo de marca afiliado que permite que otros ciberdelincuentes generen versiones de sus casilleros con diferentes nombres.
El surgimiento del cartel coincidió con lo que parece ser una «adquisición hostil» de Ransomhub, un equipo de prolíficos criminales electrónicos que dejaron el final de Lockbit y Blackcat OBS el año pasado.
Una serie de ataques dirigidos al sector minorista del Reino Unido desde finales del mes pasado ha dado lugar a más atención a los actores de amenazas. Los ataques por BBC han resultado en que las empresas impactadas cierran algunos de sus sistemas de TI.
«Si bien Dragonforce elogió la fase de fuga de horror y datos, la creciente evidencia sugiere que otro grupo (arañas dispersas) podría haber jugado un papel fundamental en la habilitación de esos ataques», dijo Cyberint. «Las arañas dispersas conocidas por sus métodos de intrusión centrados en la identidad de la nube han surgido como corredores de acceso o colaboradores dentro del modelo afiliado de DragonForce».
Las arañas dispersas, parte de una reunión de rodilla más grande y suelta conocida en sí misma como el COM, siguen siendo un misterio a pesar del arresto de presuntos arrestos en 2024, sin visibilidad sobre cómo los jóvenes en el Reino Unido y los Estados Unidos están siendo adoptados por redes criminales.
Estos hallazgos apuntan a un paisaje volátil donde los grupos de ransomware están cada vez más fragmentados, descentralizados y combatiendo la lealtad de baja afiliada. Además de las preocupaciones, el uso de inteligencia artificial (IA) está aumentando en el desarrollo de malware y la escala de campaña.
«Dragonforce es más que una marca de ransomware, es una fuerza volátil para reconstruir el panorama de ransomware», dijo Aiden Sinnott, investigador senior de amenazas de la Unidad de Amenazas de Sophos Counter.
«Mientras que en el Reino Unido, el grupo ha dominado los titulares recientes después de ataques de alto perfil a los minoristas. Detrás de la escena del ecosistema de ransomware, parece haber algunos temblores entre ellos y los grupos electrónicos como Ransomhub.
Rockbit sufrió un importante retiro operativo después de que la infraestructura fue demolida a principios de 2024 como parte de una demanda internacional de aplicación de la ley llamada Operación Chronos.
El grupo logró reconstruir la actividad hasta cierto punto y reanudarla, pero se dirigió a otro golpe a principios de este mes después de que el panel de afiliados de Web Dark se contaminara para incluir enlaces a vertederos de bases de datos que incluyen miles de chats negociados, construcciones personalizadas y trabajar con paneles de lite Lockbit de baja etapa.
«Desde registros de chat y ransomware, crea registros hasta estructura de afiliados y solicitudes de rescate, los datos muestran que los bloqueos están bien organizados y sistemáticos». «Los afiliados juegan un papel importante en la personalización de los ataques, solicitan pagos y negocian con las víctimas».
El desarrollo ha dado como resultado múltiples grupos de atacantes, incluidos el ransomware 3am, utilizando una combinación de bombardeos y visitas por correo electrónico, para engañar a los empleados y violar la red de la compañía bajo la apariencia de soporte técnico para permitir a los ingenieros sociales acceder a sus computadoras con asistencia rápida de Microsoft.
Luego se abusa del acceso inicial y elimina cargas útiles adicionales. Estos incluyen puertas traseras de túneles de red llamadas Qdoor, que permiten a los atacantes establecer andamios en la red sin atraer atención. Es de destacar que los puertas traseras se han observado previamente en trajes negros y ataques de ransomware de lince.
Sophos dijo que si bien el ataque de ransomware se vio obstaculizado, el atacante logró robar datos y vivir en la red durante nueve días antes de intentar lanzar el casillero.
«La combinación de visor y bombardeos por correo electrónico sigue siendo una combinación poderosa y efectiva para atacantes de ransomware. El grupo de ransomware 3am ha encontrado una manera de utilizar el cifrado remoto al mostrar un software de seguridad tradicional».
«Para mantener un estado seguro, las empresas deben priorizar la conciencia de los empleados y restringir estrictamente el acceso remoto, incluido el uso de políticas que bloquean las máquinas virtuales y la ejecución del software de acceso remoto en las computadoras que no tienen dicho software. Además, las empresas deben bloquear todo el tráfico de redes entrantes y salientes relacionados con el control remoto, excepto desde los sistemas designados para el acceso remoto».
Source link
