Sophos MDR respondió recientemente a un ataque dirigido que afectó a un proveedor de servicios gestionados (MSP). En este incidente, un actor malicioso obtuvo acceso a la herramienta de supervisión y gestión remota (RMM) del MSP, SimpleHelp, y la utilizó para desplegar el ransomware DragonForce en varios endpoints. Los atacantes también filtraron datos confidenciales, aprovechando una táctica de doble extorsión para presionar a las víctimas a pagar el rescate.
Sophos MDR cree que el actor malicioso explotó una cadena de vulnerabilidades que se publicaron en enero de 2025:
-
CVE-2024-57727: Vulnerabilidades de cruce de ruta múltiple
-
CVE-2024-57728: Vulnerabilidad de carga arbitraria de archivos
-
CVE-2024-57726: Vulnerabilidad de escalada de privilegios
DragonForce
El ransomware DragonForce es una marca avanzada y competitiva de ransomware como servicio (RaaS) que apareció por primera vez a mediados de 2023. Como se analiza en una investigación reciente de Sophos Counter Threat Unit (CTU), DragonForce comenzó en marzo a esforzarse por cambiar su imagen de marca para convertirse en un «cártel» y pasar a un modelo de marca afiliada distribuida.
Coincidiendo con este esfuerzo por atraer a una gama más amplia de afiliados, DragonForce ha llamado recientemente la atención en el panorama de las amenazas por afirmar que «se ha hecho con el control» de la infraestructura de RansomHub. Los informes también sugieren que conocidos afiliados de ransomware, entre ellos Scattered Spider (UNC3944), que anteriormente era afiliado de RansomHub, han estado utilizando DragonForce en ataques dirigidos a varias grandes cadenas minoristas del Reino Unido y Estados Unidos.
El incidente
Sophos MDR fue alertado del incidente tras detectar la instalación sospechosa de un archivo instalador de SimpleHelp. El instalador se distribuyó a través de una instancia legítima de SimpleHelp RMM, alojada y operada por el MSP para sus clientes. El atacante también utilizó su acceso a través de la instancia RMM del MSP para recopilar información sobre múltiples entornos de clientes gestionados por el MSP, incluyendo nombres y configuraciones de dispositivos, usuarios y conexiones de red.
Uno de los clientes del MSP estaba registrado en Sophos MDR y tenía implementada la protección para endpoints Sophos XDR. Gracias a la combinación de la detección y el bloqueo de comportamientos y malware por parte de la protección para endpoints de Sophos y las acciones de MDR para cerrar el acceso del atacante a la red, se frustró el intento de ransomware y doble extorsión en la red de ese cliente. Sin embargo, el MSP y los clientes que no utilizaban Sophos MDR se vieron afectados tanto por el ransomware como por la exfiltración de datos. El MSP contrató a Sophos Rapid Response para que proporcionara análisis forense digital y respuesta a incidentes en su entorno.
Los indicadores de compromiso relacionados con esta investigación estarán disponibles en nuestro GitHub.