De dreigingsacteurs achter de Dragonforce -ransomware kregen toegang tot een niet nader genoemde beheerde serviceprovider (MSP) SimpleHelp Remote Monitoring and Management (RMM) tool, en gebruikten deze vervolgens om gegevens te exfiltreren en de kluis op meerdere eindpunten te laten vallen.
Er wordt aangenomen dat de aanvallers een trio van beveiligingsfouten in SimpleHelp hebben uitgebuit (CVE-2024-57727, CVE-2024-57728 en CVE-2024-57726) die in januari 2025 werden bekendgemaakt om toegang te krijgen tot de MSP’s SimpleHelp-implementatie, volgens een analyse van Sophos.
Het Cybersecurity Company zei dat het werd gewaarschuwd voor het incident na een verdachte installatie van een SimpleHelp -installatiebestand, gepusheerd via een legitieme simplehelp RMM -instantie die wordt gehost en beheerd door de MSP voor hun klanten.
De dreigingsacteurs zijn ook gevonden om hun toegang te gebruiken via de RMM -instantie van de MSP om informatie uit verschillende klantomgevingen te verzamelen over apparaatnamen en configuratie, gebruikers en netwerkverbindingen.
Hoewel een van de klanten van de MSP in staat was om de toegang van aanvallers tot het netwerk af te sluiten, werden een aantal andere downstream-klanten beïnvloed door gegevensdiefstal en ransomware, waardoor de weg uiteindelijk werd vrijgemaakt voor dubbele aanvallen.
De MSP Supply Chain -aanval werpt licht op het zich ontwikkelende tradecraft van een groep die zich heeft gepositioneerd als een van de meest lucratieve opties voor gelieerde actoren in de wereld van cybercriminaliteit door een gunstig winstaandeel aan te bieden.
Dragonforce heeft de afgelopen maanden grip gekregen voor zijn opknapbeurt tot een ransomware “kartel” en zijn draaipunt naar een nieuw aangesloten merkmodel waarmee andere cybercriminelen hun eigen versies van de kast onder verschillende namen kunnen voortbrengen.
De opkomst van het kartel viel samen met de dispaciteiten van leklocaties die worden beheerd door Blacklock- en Mamona-ransomware-groepen, en wat een “vijandige overname” van Ransomhub lijkt te zijn, een productieve e-misdaadploeg die vorig jaar na de ondergang van Lockbit en Blackcat werd afgebracht.
Een reeks aanvallen op de Britse retailsector sinds eind vorige maand heeft de dreigingsacteur meer aandacht gebracht. De aanvallen, per BBC, hebben ervoor gezorgd dat getroffen bedrijven delen van hun IT -systemen hebben gesloten.
“Terwijl Dragonforce de eer heeft gekregen voor de afpersings- en gegevenslekfase, suggereert het groeiend bewijs dat een andere groep – verspreide spin – mogelijk een fundamentele rol heeft gespeeld bij het mogelijk maken van die aanvallen,” zei Cyberint. “Bekend om zijn cloud-first, identiteitsgerichte inbraakmethoden, is verspreide spin op in opkomst als een waarschijnlijke toegangsmakelaar of medewerker binnen het Dragonforce Affiliate-model.”
Verspreide Spider, die zelf deel uitmaakt van een groter losgeknust collectief dat bekend staat als de COM, is in 2024 iets van een mysterie gebleven, ondanks arrestaties van vermeende leden, zonder zichtbaarheid in hoe jongeren uit het VK en de VS worden aangeworven in het criminele netwerk.
Deze bevindingen wijzen op een vluchtig landschap waar ransomware -groepen in toenemende mate fragmenterend, decentraliseer en vechten tegen loyaliteit met een lage partner. Het toevoegen van de zorg is het groeiende gebruik van kunstmatige intelligentie (AI) in malware -ontwikkeling en campagneschaling.
“Dragonforce is niet zomaar een ander ransomware -merk – het is een destabiliserende kracht die probeert het ransomware -landschap te hervormen,” zei Aiden Sinnott, senior dreigingsonderzoeker bij Sophos Counter Threat Unit.
“In het VK heeft de groep recente krantenkoppen gedomineerd na spraakmakende aanvallen op retailers, achter de schermen van het ransomware-ecosysteem lijkt er een beetje te bestrijden tussen het en e-criminaliteitsgroepen zoals Ransomhub. Als de ecosysteem blijft snel evolueren na de takedown van de takedown van de take van deze groepen, de inspanningen van deze groep, in het bijzonder, om de pogingen van deze groep te zijn, in het bijzonder, om dominantie te zijn.”
Lockbit leed een grote operationele tegenslag nadat de infrastructuur begin 2024 werd ontmanteld als onderdeel van een internationale actie van de wetshandhaving genaamd Operation Cronos.
Hoewel de groep erin slaagde zijn activiteiten tot op zekere hoogte te herbouwen en te hervatten, werd het eerder deze maand weer een klap behandeld nadat zijn donkere webpanelen waren onleesbaar met een link naar een databasedump met duizenden onderhandelingskats, aangepaste builds en zijn werk aan een lagere Lockbit Lite-panel.
“Van chatlogboeken en ransomware -buildrecords, tot aanricht van configuraties en losgeld, de gegevens laten zien dat Lockbit zowel goed georganiseerd als methodisch is,” zei Ontinue in een uitputtend beschrijving van het lek. “Gelieerde ondernemingen spelen een belangrijke rol bij het aanpassen van aanvallen, het eisen van betaling en het onderhandelen met slachtoffers.”
De ontwikkeling komt omdat aanvallers uit meerdere groepen, waaronder 3AM -ransomware, een combinatie van e -mailbombardementen en Vishing gebruiken om bedrijfsnetwerken te breken door zich als technische ondersteuning voor te stellen om werknemers te misleiden en Social Engineerden om externe toegang tot hun computers te verlenen met behulp van Microsoft Quick Assist.
De eerste toegang wordt vervolgens misbruikt om extra payloads te laten vallen, waaronder een netwerktunneling -achterdeur genaamd Qdoor waarmee de aanvallers een voet aan de grond kunnen stellen op het netwerk zonder aandacht te trekken. Het is vermeldenswaard dat de achterdeur eerder werd waargenomen in Blacksuit- en lynx ransomware -aanvallen.
Sophos zei dat terwijl de ransomware -aanval uiteindelijk werd gedwarsboomd, de aanvallers erin slaagden om gegevens te stelen en negen dagen op het netwerk stil te staan voordat hij probeerde het kluisje te lanceren,
“De combinatie van vissen en e -mailbombardementen blijft een krachtige, effectieve combinatie voor ransomware -aanvallers – en de 3AM ransomware -groep heeft nu een manier gevonden om te profiteren van externe codering om uit het zicht te blijven van traditionele beveiligingssoftware,” zei Sean Gallagher, hoofdonderzoeker van de bedreiging bij Sophos.
“Om veilig te blijven, moeten bedrijven prioriteit geven aan werknemersbewustzijn en strikt beperken van de externe toegang. Dit omvat het gebruik van beleid om de uitvoering van virtuele machines en externe toegangssoftware op computers te blokkeren die dergelijke software niet zouden moeten hebben. Bovendien moeten bedrijven alle inkomende en uitgaande netwerkverkeer geassocieerd met afstandsbediening blokkeren, behalve uit de systemen die zijn aangewezen voor externe toegang.”
