Dragonforce fidye yazılımının arkasındaki tehdit aktörleri, isimsiz yönetilen bir servis sağlayıcısının (MSP) Simplehelp uzaktan izleme ve yönetimi (RMM) aracına erişim sağladı ve daha sonra verileri söndürmek ve dolabı birden fazla uç noktaya bırakmak için kaldırdı.
Saldırganların SimpleHelp (CVE-2024-57727, CVE-2024-57728 ve CVE-2024-57726), MSP’nin SimpleHelp konuşlandırmasına erişmek için Ocak 2025’te açıklanan bir üçlü güvenlik kusurundan yararlandığına inanılıyor.
Siber güvenlik şirketi, MSP tarafından müşterileri için barındırılan ve işletilen meşru bir SimpleHelp RMM örneği aracılığıyla itilen bir SimpleHelp yükleyici dosyasının şüpheli bir kurulumunun ardından olaya uyarıldığını söyledi.
Tehdit aktörlerinin, cihaz adları ve yapılandırma, kullanıcılar ve ağ bağlantıları hakkında farklı müşteri ortamlarından bilgi toplamak için MSP’nin RMM örneği aracılığıyla erişimlerinden yararlandığı bulunmuştur.
MSP’nin müşterilerinden biri saldırganların ağa erişimini kapatabilmesine rağmen, bazı diğer aşağı akış müşterileri veri hırsızlığı ve fidye yazılımlarından etkilendi ve sonunda çift genişlemeli saldırıların yolunu açtı.
MSP tedarik zinciri saldırısı, kendisini elverişli bir kâr payı sunarak siber suç dünyasındaki bağlı kuruluş aktörler için en kazançlı seçeneklerden biri olarak konumlandıran bir grubun gelişen ticari aracına ışık tutuyor.
Dragonforce, son aylarda, fidye yazılımı “kartel” e yenilenmesi için çekiş kazandı ve diğer siber suçluların diğer siber suçluların farklı isimler altında kendi sürümlerini ortaya çıkarmasına izin veren yeni bir bağlı kuruluş markalaşma modeline çekildi.
Kartelin ortaya çıkışı, Blacklock ve Mamona fidye yazılımı grupları tarafından işletilen sızıntı alanlarının bozulmalarına ve geçen yıl kilitbit ve blackcat’ın ölümünü başlatan üretken bir e-suç ekibi olan Ransomhub’ın “düşmanca bir devralma” gibi görünen şeyle çakıştı.
Geçen ayın sonlarından bu yana İngiltere perakende sektörünü hedefleyen bir dizi saldırı, tehdit oyuncusu üzerine daha fazla dikkat çekti. BBC’ye göre saldırılar, etkilenen şirketlerin BT sistemlerinin bir kısmını kapatmasına neden oldu.
Cyberint, “Dragonforce gasp ve veri sızıntısı aşaması için kredi alırken, artan kanıtlar, başka bir grubun – dağınık örümcek – bu saldırıların sağlanmasında temel bir rol oynamış olabileceğini gösteriyor.” Dedi. “Bulut ilk, kimlik merkezli izinsiz giriş yöntemleriyle tanınan dağınık örümcek, Dragonforce bağlı kuruluş modelinde olası bir erişim brokeri veya işbirliği olarak ortaya çıkıyor.”
Kendisi, COM olarak bilinen daha büyük bir gevşek örgü kolektifinin parçası olan dağınık örümcek, 2024’te iddia edilen üyelerin tutuklanmasına rağmen bir gizem olarak kaldı ve İngiltere ve ABD’den gençlerin suç ağına nasıl alındığına dair görünürlükten yoksun.
Bu bulgular, fidye yazılımı gruplarının giderek daha fazla parçalanma, merkezi olmayan ve düşük bağlı sadakatle mücadele ettiği değişken bir manzaraya işaret ediyor. Endişeye ek olarak, kötü amaçlı yazılım geliştirme ve kampanya ölçeklendirmesinde yapay zekanın (AI) artan kullanımıdır.
Sophos Counter Tehdit Birimi kıdemli tehdit araştırmacısı Aiden Sinnott, “Dragonforce sadece başka bir fidye yazılımı markası değil – fidye yazılımı manzarasını yeniden şekillendirmeye çalışan istikrarsızlaştırıcı bir güç.” Dedi.
“Birleşik Krallık’ta, grup perakendecilere yapılan yüksek profilli saldırılardan sonra son başlıklara hakim olmuşken, fidye yazılımı ekosisteminin arkasında, fidye ve fidye grupları arasında ve ekosistem arasında bazı jostling var gibi görünüyor. Ekosistem, bu grubun çabalarını vurgulamak için, bu grubun çabalarını vurgulamadan sonra hızlı bir şekilde gelişmeye devam ettikçe,”
Lockbit, altyapısı 2024’ün başlarında Cronos Operasyonu adı verilen uluslararası bir kolluk eyleminin bir parçası olarak söküldükten sonra büyük bir operasyonel gerileme yaşadı.
Grup, faaliyetlerini bir dereceye kadar yeniden inşa etmeyi ve devam ettirmeyi başarsa da, karanlık web ortağı panellerinin binlerce müzakere sohbeti, özel yapıları ve daha düşük katmanlı kilitbit lite panelindeki çalışmasını içeren bir veritabanı dökümüne bir bağlantı içerecek şekilde tahrif edildikten sonra bu ayın başlarında başka bir darbe ile ele alındı.
“Sohbet günlükleri ve fidye yazılımı oluşturma kayıtlarından, bağlı kuruluş yapılandırmalarına ve fidye taleplerine kadar, veriler kilitli bir sızıntının kapsamlı bir şekilde yazılmasında hem iyi organize edilmiş hem de metodik olduğunu gösteriyor. “İştirakler saldırıları özelleştirmede, ödeme talep etmede ve kurbanlarla müzakere etmede önemli bir rol oynamaktadır.”
Geliştirme, saat 03.AM fidye yazılımları da dahil olmak üzere birden fazla gruptan saldırgan, çalışanları aldatmak ve sosyal mühendislik yapmak için teknoloji desteği olarak poz vererek şirket ağlarını ihlal etmek için e -posta bombalaması ve perdenin bir kombinasyonunu kullanıyor.
İlk erişim, QDoor adlı bir ağ tüneli arka kapısı da dahil olmak üzere, saldırganların dikkat çekmeden ağda bir dayanak kurmasına izin veren ek yükler bırakmak için istismar edilir. Arka kapının daha önce Blacksuit ve Lynx fidye yazılımı saldırılarında gözlemlendiğini belirtmek gerekir.
Sophos, fidye yazılımı saldırısı sonuçta engellenirken, saldırganların dolabı başlatmaya çalışmadan önce veri çalmayı ve ağ üzerinde durmayı başardıklarını söyledi.
Sophos’un ana tehdit araştırmacısı Sean Gallagher, “Vishing ve e -posta bombalama kombinasyonu fidye yazılımı saldırganları için güçlü, etkili bir kombinasyon olmaya devam ediyor – ve sabah 3 fidye yazılımı grubu, geleneksel güvenlik yazılımından uzak durmak için uzaktan şifrelemeden yararlanmanın bir yolunu buldu.” Dedi.
“Güvenli kalmak için şirketler, çalışanların farkındalığını önceliklendirmeli ve uzaktan erişimi kesinlikle sınırlamalıdır. Bu, bu tür bir yazılıma sahip olmaması gereken bilgisayarlarda sanal makinelerin ve uzaktan erişim yazılımlarının yürütülmesini engellemek için politikaların kullanılması da dahildir. Şirketler, uzaktan erişim için belirlenen sistemler dışında uzaktan kontrol ile ilişkili tüm gelen ve giden ağ trafiğini engellemelidir.”