Um provedor de serviços gerenciados (MSP) foi alvo de um ataque em que invasores exploraram vulnerabilidades no software de monitoramento remoto SimpleHelp para implantar o ransomware DragonForce em múltiplos clientes, segundo relatório publicado pela Sophos.
Leia também
Microcredenciais de IA favorecem candidatos
Hackers chineses invadem rede de empresa de backup
A investigação aponta que o agente da ameaça utilizou três falhas publicadas em janeiro de 2025: travessia de múltiplos caminhos (CVE-2024-57727), upload arbitrário de arquivos (CVE-2024-57728) e escalonamento de privilégios (CVE-2024-57726). O ataque resultou na instalação remota do ransomware por meio da própria instância do SimpleHelp operada pelo MSP, além da coleta de dados como nomes de dispositivos, usuários e configurações de rede.
O DragonForce é um ransomware como serviço que tenta se consolidar como um cartel e atrair afiliados experientes. Em 2025, o grupo alegou controle sobre a infraestrutura do RansomHub e passou a ser utilizado por agentes conhecidos, como o Scattered Spider, em ataques a redes de grande porte no Reino Unido e nos EUA.
A Sophos detectou o incidente após identificar a instalação suspeita do SimpleHelp. Em um dos clientes do MSP, que utilizava a solução de detecção e resposta da Sophos, a tentativa de ataque foi bloqueada antes da criptografia ou exfiltração. No entanto, os demais clientes sem proteção foram afetados. O MSP recorreu à equipe de resposta rápida da Sophos para análise forense e contenção.
A Sophos informou que os indicadores de comprometimento associados ao ataque serão publicados em seu repositório no GitHub.
