Attacco alla catena di fornitura MSP: DragonForce sfrutta SimpleHelp
Il gruppo di attori malevoli noto come DragonForce ha recentemente compromesso un fornitore di servizi gestiti (MSP) non identificato, ottenendo accesso al suo strumento di monitoraggio e gestione remota (RMM) SimpleHelp. Utilizzando questo accesso, hanno esfiltrato dati e distribuito ransomware su diversi endpoint. Secondo un’analisi di Sophos, gli attaccanti avrebbero sfruttato tre vulnerabilità di sicurezza in SimpleHelp (CVE-2024-57727, CVE-2024-57728 e CVE-2024-57726) divulgate a gennaio 2025 per accedere al sistema dell’MSP.
Compromissione e impatto sui clienti
La società di cybersecurity è stata allertata dell’incidente a seguito di un’installazione sospetta di un file di installazione SimpleHelp, distribuito tramite un’istanza legittima di SimpleHelp RMM ospitata e gestita dall’MSP per i suoi clienti. Gli attori della minaccia hanno anche utilizzato l’accesso attraverso l’istanza RMM dell’MSP per raccogliere informazioni da diversi ambienti dei clienti, tra cui nomi dei dispositivi, configurazioni, utenti e connessioni di rete. Sebbene uno dei clienti dell’MSP sia riuscito a interrompere l’accesso degli attaccanti alla rete, molti altri clienti a valle sono stati colpiti da furti di dati e ransomware, aprendo la strada ad attacchi di doppia estorsione.
DragonForce e il modello di affiliazione
L’attacco alla catena di fornitura dell’MSP mette in luce l’evoluzione delle tecniche di un gruppo che si è posizionato come una delle opzioni più redditizie per gli attori affiliati nel mondo del crimine informatico, offrendo una quota di profitto favorevole. Negli ultimi mesi, DragonForce ha guadagnato attenzione per la sua trasformazione in un “cartello” di ransomware e il suo passaggio a un nuovo modello di branding per affiliati che consente ad altri criminali informatici di creare le proprie versioni del ransomware con nomi diversi.
Collaborazione con Scattered Spider
L’emergere del cartello ha coinciso con i defacement di siti di leak gestiti dai gruppi di ransomware BlackLock e Mamona, e quello che sembra essere un “takeover ostile” di RansomHub, un prolifico gruppo di e-crime emerso dopo la scomparsa di LockBit e BlackCat l’anno scorso. Una serie di attacchi mirati al settore retail del Regno Unito dall’ultimo mese ha portato ulteriore attenzione sull’attore della minaccia. Secondo la BBC, gli attacchi hanno costretto le aziende colpite a chiudere parti dei loro sistemi IT.
Mentre DragonForce si è attribuito il merito della fase di estorsione e fuga di dati, crescenti prove suggeriscono che un altro gruppo, Scattered Spider, potrebbe aver giocato un ruolo fondamentale nel facilitare questi attacchi. Conosciuto per i suoi metodi di intrusione cloud-first e identity-centric, Scattered Spider sta emergendo come un probabile broker di accesso o collaboratore all’interno del modello di affiliazione di DragonForce.
Un panorama in evoluzione
Scattered Spider, che fa parte di un collettivo più ampio noto come The Com, rimane un mistero nonostante gli arresti di presunti membri nel 2024, mancando di visibilità su come giovani del Regno Unito e degli Stati Uniti vengano reclutati nella rete criminale. Questi risultati indicano un panorama volatile in cui i gruppi di ransomware si stanno frammentando, decentralizzando e affrontando una bassa fedeltà degli affiliati.
Fonte: The Hackers News
