A Sophos publicou um alerta informando que um provedor de serviços gerenciados (MSP) e seus clientes foram atingidos pelo ransomware DragonForce, após a exploração de vulnerabilidades no software de monitoramento e gerenciamento remoto SimpleHelp.
Leia também
Killnet ressurge com nova liderança e foco comercial
Mensagens de voz falsas na invasão de empresas
O operador do ransomware teria explorado três falhas classificadas como CVE-2024-57727, CVE-2024-57728 e CVE-2024-57726. Esses bugs permitem recuperar arquivos de configuração e credenciais, realizar login com privilégios elevados para execução de código e elevar permissões até o nível de administrador, comprometendo completamente os sistemas afetados.
As correções para as falhas foram publicadas em janeiro, mas ataques começaram a ocorrer semanas depois contra instâncias expostas do SimpleHelp que ainda não haviam sido atualizadas. A Sophos acredita que as três falhas foram usadas em conjunto para invadir a instância mantida pelo MSP.
Com acesso ao RMM, os invasores coletaram informações sobre os clientes do provedor, incluindo nomes de dispositivos, usuários, conexões de rede e configurações, além de dados confidenciais. O ransomware DragonForce foi então implantado, afetando tanto o MSP quanto os seus contratantes.
O grupo DragonForce tem ganhado notoriedade desde meados de 2023 e atualmente opera como serviço (RaaS), utilizando a infraestrutura do RansomHub. Recentemente, passou a mirar o setor varejista dos EUA, após ataques contra marcas britânicas. Em 2024, os EUA anunciaram acusações contra cinco integrantes do grupo afiliado Scattered Spider, envolvido em ações similares.
