Sophos: ransomwarebende DragonForce misbruikt SimpleHelp kwetsbaarheden

Sophos heeft met "gemiddelde zekerheid" vastgesteld dat de aanvallers een keten van kwetsbaarheden hebben misbruikt (CVE-2024-57727, CVE-2024-57728 en CVE-2024-57726) die in januari 2025 door SimpleHelp zijn gepatcht. Deze kwetsbaarheden betroffen onder andere padtraversal, het uploaden van willekeurige bestanden en privilege-escalatie.

DragonForce, een geavanceerd 'ransomware-as-a-service' (RaaS) merk dat medio 2023 opkwam, heeft onlangs zijn strategie gewijzigd naar een gedistribueerd affiliatiemodel. De groep claimde ook de infrastructuur van RansomHub te hebben overgenomen en wordt in verband gebracht met recente aanvallen op grote retailketens in het Verenigd Koninkrijk en de Verenigde Staten, uitgevoerd door bekende ransomware-affiliates zoals Scattered Spider.

MSP

De aanval op de MSP werd gedetecteerd door Sophos MDR na een verdachte installatie van een SimpleHelp-installatiebestand, gepusht via een legitieme SimpleHelp RMM-instantie van de MSP. De aanvallers gebruikten hun toegang om informatie te verzamelen over de klantomgevingen die door de MSP werden beheerd. Een cliënt van de MSP die gebruikmaakte van Sophos MDR en Sophos XDR-endpointbeveiliging, wist de ransomware en afpersingspoging af te wenden door de gecombineerde acties van de beveiligingssystemen en het incidentresponsteam van Sophos. Andere klanten van de MSP, die geen Sophos MDR gebruikten, werden wel getroffen door zowel de ransomware als de data-exfiltratie.

Sophos heeft de Indicators of Compromise (IOC's) met betrekking tot dit onderzoek beschikbaar gesteld via GitHub en raadt organisaties dringend aan de nieuwste SimpleHelp-software-updates toe te passen.