Tu administrador fue su puerta de entrada. Y con él — toda tu red
No hace falta un hackeo cuando el acceso lo da quien lo controla.
Los operadores del ransomware DragonForce atacaron a un proveedor de servicios IT gestionados (MSP), utilizando su plataforma de administración remota SimpleHelp para robar datos e instalar cifradores en los equipos de los clientes. Según Sophos, que investigó el incidente, los atacantes explotaron un conjunto de vulnerabilidades conocidas en SimpleHelp, identificadas como CVE-2024-57726, CVE-2024-57727 y CVE-2024-57728.
SimpleHelp es una herramienta comercial de soporte y administración remota, ampliamente utilizada por empresas MSP para gestionar la infraestructura de sus clientes. Durante el ataque, los delincuentes realizaron primero labores de reconocimiento, recopilando información sobre las organizaciones objetivo, incluidos nombres de dispositivos, configuraciones, datos de usuarios y conexiones de red. Luego procedieron al robo de datos y la distribución de ransomware, usando SimpleHelp como canal de entrega.
Sophos logró bloquear los intentos de infiltración en una de las redes de clientes. Sin embargo, los demás clientes del MSP no contaron con dicha protección: los atacantes cifraron con éxito dispositivos y robaron información, lo que les permitió aplicar un esquema de doble extorsión, exigiendo pagos tanto por la descodificación como por no publicar los datos. Para ayudar a otras organizaciones, Sophos publicó indicadores de compromiso (IoC) relacionados con este ataque.
El ataque vuelve a poner sobre la mesa la vulnerabilidad de los MSP como canales de distribución de amenazas. Las bandas de ransomware consideran desde hace tiempo a estas empresas como objetivos prioritarios, ya que una sola infiltración puede dar acceso a decenas o incluso cientos de víctimas. Algunos actores afiliados del cibercrimen se especializan en explotar herramientas populares de MSP, como SimpleHelp, ConnectWise ScreenConnect y Kaseya.
Entre los ejemplos más conocidos se encuentra el ataque masivo de REvil a la infraestructura de Kaseya en 2021, cuyas consecuencias afectaron a más de mil organizaciones en todo el mundo.
El grupo DragonForce, responsable del nuevo incidente, está aumentando activamente su presencia. Ya había llamado la atención de expertos por ataques a cadenas británicas como Marks & Spencer y Co-op. En estos casos se emplearon técnicas similares a las del grupo Scattered Spider, como el uso de herramientas corporativas de administración y técnicas de ingeniería social. En el caso de Co-op, la filtración comprometió datos personales de una gran cantidad de clientes.
La creciente lista de víctimas y el modelo de distribución flexible refuerzan la posición de DragonForce en el panorama del cibercrimen. El grupo ofrece un modelo llamado white-label RaaS (ransomware como servicio): los socios pueden utilizar el cifrador bajo su propia marca. Esta estrategia hace que la plataforma sea especialmente atractiva para afiliados y plantea una amenaza de expansión aún mayor en el futuro.