Los actores del Ransomware DragonForce aprovechan debilidades para atacar a un MSP y a sus clientes

Un actor de Ransomware explotó RMM para acceder a varias organizaciones; Sophos EDR bloqueó el cifrado en la red.

El Ransomware DragonForce sigue causando estragos, aunque en uno de sus últimos ataques Sophos MDR respondió oportunamente. La última acción del peligroso grupo afectó a un proveedor de servicios gestionados (MSP). En este incidente, un actor malicioso obtuvo acceso a la herramienta de supervisión y gestión remota (RMM) del MSP, SimpleHelp, y la utilizó para desplegar el Ransomware en varios endpoints. Los atacantes también filtraron datos confidenciales, aprovechando una táctica de doble extorsión para presionar a las víctimas a pagar el rescate.

El grupo de Ransomware DragonForce ahora ataca a sus rivales para dominar “el mercado”

DragonForce es una marca avanzada y competitiva de Ransomware como servicio (RaaS) que apareció por primera vez a mediados de 2023. Como se analiza en una investigación reciente de Sophos Counter Threat Unit (CTU), DragonForce comenzó en marzo a esforzarse por cambiar su imagen de marca para convertirse en un «cártel» y pasar a un modelo de marca afiliada distribuida.

Coincidiendo con este esfuerzo por atraer a una gama más amplia de afiliados, DragonForce ha llamado recientemente la atención en el panorama de las amenazas por afirmar que «se ha hecho con el control» de la infraestructura de RansomHub. Los informes también sugieren que conocidos afiliados de Ransomware, entre ellos Scattered Spider (UNC3944), que anteriormente era afiliado de RansomHub, han estado utilizando DragonForce en ataques dirigidos a varias grandes cadenas minoristas del Reino Unido y Estados Unidos.

Sophos MDR fue alertado del incidente tras detectar la instalación sospechosa de un archivo instalador de SimpleHelp. El instalador se distribuyó a través de una instancia legítima RMM, alojada y operada por el MSP para sus clientes. El atacante también utilizó su acceso a través de la instancia RMM del MSP para recopilar información sobre múltiples entornos de clientes gestionados por el MSP, incluyendo nombres y configuraciones de dispositivos, usuarios y conexiones de red.

Uno de los clientes del MSP estaba registrado en Sophos MDR y tenía implementada la protección para endpoints Sophos XDR. Gracias a la combinación de la detección y el bloqueo de comportamientos y malware por parte de la protección para endpoints de Sophos y las acciones de MDR para cerrar el acceso del atacante a la red, se frustró el intento de Ransomware y doble extorsión en la red de ese cliente.

Sin embargo, el MSP y los clientes que no utilizaban Sophos MDR se vieron afectados tanto por el Ransomware como por la exfiltración de datos. El MSP contrató a Sophos Rapid Response para que proporcionara análisis forense digital y respuesta a incidentes en su entorno.