DragonForce Fidye Yazılımı Operasyonu, yönetilen bir servis sağlayıcısını başarıyla ihlal etti ve veri çalmak ve aşağı akış müşterilerin sistemlerine şifrelemeleri dağıtmak için SimpleHelp Uzaktan İzleme ve Yönetim (RMM) platformunu kullandı.
Sophos saldırıyı araştırmak için getirildi ve tehdit aktörlerinin sistemi ihlal etmek için CVE-2024-57728, CVE-2024-57728 ve CVE-2024-57726 olarak izlenen eski SimpleHelp güvenlik açıklarından oluşan bir zincirden yararlandığına inanıyorlar.
SimpleHelp, MSP’ler tarafından sistemleri yönetmek ve yazılımı müşteri ağlarına dağıtmak için yaygın olarak kullanılan ticari bir uzaktan destek ve erişim aracıdır.
Sophos’un raporu, tehdit aktörlerinin ilk önce Müşteri sistemlerinde keşif yapmak için SimpleHelp kullandıklarını, örneğin MSP’nin müşterileri hakkında cihaz adları ve yapılandırma, kullanıcılar ve ağ bağlantıları dahil olmak üzere bilgi toplamak gibi.
Tehdit aktörleri daha sonra Sophos uç nokta koruması kullanarak ağlardan birinde engellenen müşteri ağlarına veri çalmaya ve şifrelemeleri dağıtmaya çalıştı. Bununla birlikte, diğer müşteriler çok şanslı değildi, cihazlar şifreli ve veriler çift genişlemeli saldırılar için çalındı.
Sophos, kuruluşların ağlarını daha iyi savunmasına yardımcı olmak için bu saldırı ile ilgili IOC’leri paylaştı.
MSP’ler uzun zamandır fidye yazılımı çeteleri için değerli bir hedef olmuştur, çünkü tek bir ihlal birden fazla şirkete saldırılara yol açabilir. Bazı fidye yazılımı iştirakleri, SimpleHelp, Connectwise Screenconnect ve Kaseya gibi MSP’ler tarafından yaygın olarak kullanılan araçlarda uzmanlaşmıştır.
Bu, Revil’in 1.000’den fazla şirketi etkileyen Kaseya’ya yapılan büyük fidye yazılımı saldırısı da dahil olmak üzere yıkıcı saldırılara yol açtı.
Dragonforce, İngiltere perakende saldırılarını takiben kötü şöhret kazanıyor
Dragonforce fidye yazılımı çetesi, dağınık örümcek taktiklerini kullanan tehdit aktörlerini içeren yüksek profilli perakende ihlallerinin bir dalgasına bağlandıktan sonra son zamanlarda kötü şöhrette arttı.
BleepingComputer tarafından ilk olarak bildirildiği gibi, grubun fidye yazılımı Birleşik Krallık Perakendeci Marks & Spencer’a yapılan saldırılarda konuşlandırıldı. Kısa bir süre sonra, aynı tehdit aktörleri, önemli miktarda müşteri verisinin çalındığını doğrulayan başka bir İngiliz perakendeci Co-op’u ihlal etti.
BleepingComputer daha önce Dragonforce’un, hizmet olarak beyaz etiketli fidye yazılımı (RAAS) modeli sunarak bir “kartel” inşa etmeye çalıştığını ve iştiraklerin şifrelemesinin yeniden markalı versiyonlarını dağıtmasına izin verdiğini bildirmişti.
Giderek artan iştirak dostu yaklaşımı ve büyüyen kurban listesi ile Dragonforce, fidye yazılımı manzarasında hızla önemli bir oyuncu haline geliyor.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.