DragonForce勒索软件组织成功入侵了一家托管服务提供商(MSP),并利用其SimpleHelp远程监控和管理平台窃取数据并在下游客户的系统上部署加密器。Sophos参与调查此攻击,并认为威胁行为者利用了一系列旧的SimpleHelp漏洞(CVE-2024-57727、CVE-2024-57728和CVE-2024-57726)来入侵系统。SimpleHelp是一种商业远程支持和访问工具,通常被MSP用于管理系统并在客户网络上部署软件。
报告指出,威胁行为者首先使用SimpleHelp对客户系统进行侦察,收集关于MSP客户的信息,包括设备名称和配置、用户和网络连接。
接下来,威胁行为者试图窃取数据并在客户网络上部署解密器,其中一个网络使用Sophos终端保护阻止了这些行为,但其他客户并没有如此幸运,设备被加密,数据被盗用于双重勒索攻击。Sophos已经分享与此攻击相关的IOC,以帮助组织更好地保护其网络。
