Los actores de amenaza detrás del ransomware de DragonForce obtuvieron acceso a la herramienta de monitorización y administración de control remoto (RMM) de SimpleHelp Monitoring and Monitoring (RMM) de un proveedor de servicios administrado sin nombre (MSP), y luego la aprovecharon para exfiltrar datos y soltar el bloqueador en múltiples puntos finales.
Se cree que los atacantes explotaron un trío de fallas de seguridad en SimpleHelp (CVE-2024-57727, CVE-2024-57728 y CVE-2024-57726) que se revelaron en enero de 2025 para acceder a la implementación de SimpleHelp de MSP, según un análisis de Sophos.
La compañía de ciberseguridad dijo que fue alertado del incidente luego de una instalación sospechosa de un archivo de instalador SimpleHelp, presionado a través de una instancia legítima de SimpleHelp RMM que está alojada y operada por el MSP para sus clientes.
También se ha encontrado que los actores de amenaza aprovechan su acceso a través de la instancia RMM del MSP para recopilar información de diferentes entornos de clientes sobre nombres de dispositivos y configuración, usuarios y conexiones de red.
Aunque uno de los clientes del MSP pudo cerrar el acceso de los atacantes a la red, otros clientes aguas abajo se vieron afectados por el robo de datos y el ransomware, eventualmente allanando el camino para ataques de doble extorsión.
El ataque de la cadena de suministro MSP arroja luz sobre la artesanía en evolución de un grupo que se ha posicionado como una de las opciones más lucrativas para los actores afiliados en el mundo del delito cibernético al ofrecer una participación de ganancias favorable.
Dragonforce, en los últimos meses, ha ganado tracción por su renovación de un «cartel» de ransomware y su giro a un nuevo modelo de marca de afiliados que permite que otros ciberdelincuentes generen sus propias versiones del casillero con diferentes nombres.
La aparición del cartel coincidió con los defacimientos de los sitios de fuga operados por los grupos de ransomware Blacklock y Mamona, y lo que parece ser una «adquisición hostil» de Ransomhub, un prolífico equipo de delitos electrónicos que despegó después de la desaparición de Lockbit y Blackcat el año pasado.
Una serie de ataques dirigidos al sector minorista del Reino Unido desde finales del mes pasado ha traído más atención al actor de amenazas. Los ataques, según la BBC, han provocado que las empresas afectadas cierren partes de sus sistemas de TI.
«Si bien Dragonforce se atribuyó el crédito por la fase de extorsión y fuga de datos, la creciente evidencia sugiere que otro grupo, disperso Spider, puede haber jugado un papel fundamental en la habilitación de esos ataques», dijo Cyberint. «Conocido por sus métodos de intrusión centrados en la nube, la araña dispersa, está emergiendo como un probable corredor de acceso o colaborador dentro del modelo afiliado de Dragonforce».
La araña dispersa, que es parte de un colectivo suelto más grande conocido como COM, ha seguido siendo un misterio a pesar de los arrestos de presuntos miembros en 2024, que carecen de visibilidad sobre cómo los jóvenes del Reino Unido y los Estados Unidos son reclutados en la red criminal.
Estos hallazgos apuntan a un paisaje volátil donde los grupos de ransomware son cada vez más fragmentantes, descentralizados y luchando contra la lealtad de baja afiliación. A la preocupación es el uso creciente de la inteligencia artificial (IA) en el desarrollo de malware y la escala de campaña.
«Dragonforce no es solo otra marca de ransomware: es una fuerza desestabilizadora que intenta remodelar el panorama de ransomware», dijo Aiden Sinnott, investigador senior de amenazas de la Unidad de Amenazas de Sophos Counter.
«Mientras que en el Reino Unido, el grupo ha dominado los titulares recientes después de ataques de alto perfil a los minoristas, detrás de escena del ecosistema de ransomware parece haber algunos empuje entre los grupos de TI y E-Crime, como Ransomhub. Como el ecosistema continúa evolucionando rápidamente después de la eliminación de Lockbit, esta ‘Guerra de Turf’ destaca los esfuerzos de este grupo, en particular, a la afirmación, a la afirmación, a la afirmación.
Lockbit sufrió un importante revés operativo después de que su infraestructura fue desmantelada a principios de 2024 como parte de una acción internacional de aplicación de la ley llamada Operación Cronos.
Aunque el grupo logró reconstruir y reanudar sus actividades hasta cierto punto, se trató con otro golpe a principios de este mes después de que sus paneles de afiliados de la web oscura fueron desfigurados para incluir un enlace a un volcado de base de datos que contenía miles de chats de negociación, construcciones personalizadas y su trabajo en un panel de lite Lockbit de nivel más bajo.
«Desde registros de chat y registros de construcción de ransomware, hasta configuraciones de afiliados y demandas de rescate, los datos muestran que Lockbit está bien organizado y metódico», dijo Ontinue en un escrito exhaustivo de la fuga. «Los afiliados juegan un papel importante en la personalización de los ataques, exigen el pago y la negociación con las víctimas».
El desarrollo se produce cuando los atacantes de múltiples grupos, incluido el ransomware 3am, están utilizando una combinación de bombardeos por correo electrónico y vishing para violar las redes de las empresas haciéndose pasar por un soporte técnico para engañar a los empleados e ingeniería social para que otorgue acceso remoto a sus computadoras utilizando Microsoft Quick Assist.
Luego se abusa del acceso inicial para eliminar cargas útiles adicionales, incluida una puerta trasera de túneles de red llamada Qdoor que permite a los atacantes establecer un punto de apoyo en la red sin atraer ninguna atención. Vale la pena señalar que la puerta trasera se observó previamente en los ataques con trajes negros y ransomware lince.
Sophos dijo que si bien el ataque de ransomware fue frustrado en última instancia, los atacantes lograron robar datos y detenerse en la red durante nueve días antes de intentar lanzar el casillero,
«La combinación de bombardeos de vishado y correo electrónico sigue siendo una combinación potente y efectiva para los atacantes de ransomware, y el grupo de ransomware 3am ahora ha encontrado una manera de aprovechar el cifrado remoto para mantenerse fuera de la vista del software de seguridad tradicional», dijo Sean Gallagher, investigador principal de amenazas de Sophos.
«Para mantenerse seguras, las empresas deben priorizar la conciencia de los empleados y limitar estrictamente el acceso remoto. Esto incluye el uso de políticas para bloquear la ejecución de máquinas virtuales y el software de acceso remoto en las computadoras que no deberían tener dicho software. Además, las empresas deben bloquear todo el tráfico de red entrante y saliente asociado con el control remoto, excepto desde los sistemas designados para acceso remoto».