Operasi ransomware Dragonforce berhasil melanggar penyedia layanan yang dikelola dan menggunakan platform pemantauan dan manajemen jarak jauh (RMM) yang sederhana untuk mencuri data dan menggunakan enkripsi pada sistem pelanggan hilir.
Sophos dibawa untuk menyelidiki serangan itu dan percaya bahwa aktor ancaman mengeksploitasi rantai kerentanan sederhana yang dilacak sebagai CVE-2024-57727, CVE-2024-57728, dan CVE-2024-57726 untuk melanggar sistem.
SimpleHelp adalah alat dukungan jarak jauh dan akses komersial yang biasa digunakan oleh MSP untuk mengelola sistem dan menggunakan perangkat lunak di seluruh jaringan pelanggan.
Itu Laporan oleh Sophos mengatakan bahwa aktor ancaman pertama kali menggunakan SimpleHelp untuk melakukan pengintaian pada sistem pelanggan, seperti mengumpulkan informasi tentang pelanggan MSP, termasuk nama dan konfigurasi perangkat, pengguna, dan koneksi jaringan.
Aktor ancaman kemudian berusaha mencuri data dan menggunakan dekriptor di jaringan pelanggan, yang diblokir di salah satu jaringan menggunakan perlindungan titik akhir Sophos. Namun, pelanggan lain tidak begitu beruntung, dengan perangkat dienkripsi dan data dicuri untuk serangan ekstorsi ganda.
Sophos memiliki IOC yang dibagikan Terkait dengan serangan ini untuk membantu organisasi dengan lebih baik mempertahankan jaringan mereka.
MSP telah lama menjadi a Target berharga untuk geng ransomwarekarena pelanggaran tunggal dapat menyebabkan serangan terhadap banyak perusahaan. Beberapa afiliasi ransomware memiliki khusus dalam alat yang biasa digunakan oleh MSP, seperti SimpleHelp, ConnectWise Screenconnect, dan Kaseya.
Ini menyebabkan serangan yang menghancurkan, termasuk Serangan ransomware besar Revil di Kaseyayang berdampak lebih dari 1.000 perusahaan.
Dragonforce memperoleh ketenaran setelah serangan ritel Inggris
Geng Ransomware Dragonforce baru-baru ini melonjak dalam ketenaran setelah dikaitkan dengan gelombang pelanggaran ritel profil tinggi yang melibatkan aktor ancaman yang memanfaatkan Taktik laba -laba yang tersebar.
Seperti yang pertama kali dilaporkan oleh BleepingComputer, ransomware grup ini dikerahkan dalam serangan terhadap pengecer Inggris Marks & Spencer. Segera setelah itu, aktor ancaman yang sama melanggar pengecer Inggris lainnya, Mengurungyang mengkonfirmasi sejumlah besar data pelanggan dicuri.
Komputer bleeping Dilaporkan sebelumnya Dragonforce itu sedang mencoba membangun “kartel” dengan menawarkan model ransomware-as-a-service (RAAS) label putih, yang memungkinkan afiliasi untuk menggunakan versi ecryptor-nya yang berganti nama.
Dengan pendekatannya yang semakin ramah afiliasi dan daftar korban yang berkembang, Dragonforce dengan cepat menjadi pemain utama dalam lanskap ransomware.
