Dragonforce fidye yazılımını kullanan bir tehdit oyuncusu, isimsiz yönetilen bir servis sağlayıcıdan (MSP) tehlikeye attı ve kötü amaçlı yazılımları, meşru uzaktan izleme ve yönetim (RMM) aracı olan SimpleHelp aracılığıyla müşteri kuruluşlarına itti.
Şirketin olay müdahalecileri Salı günü “Sophos MDR, tehdit oyuncusu Ocak 2025’te piyasaya sürülen bir güvenlik açıkları zincirinden yararlandı” dedi.
Söz konusu güvenlik açıkları CVE-2024-57727, CVE-2024-57728 ve CVE-2024-57726’dır.
Bu yılın başlarında, güvenlik açıklarından fidye yazılımı saldırganları tarafından sağlık kuruluşlarını hedeflemek için kullanılmıştır.
Saldırı tespit etmek
“Sophos MDR, bir SimpleHelp yükleyici dosyasının şüpheli bir kurulumunun tespit edilmesiyle olaya uyarıldı. Yükleyici, meşru bir SimpleHelp RMM ile itildi. [server] Müşterileri için MSP tarafından barındırılan ve işletilen örnek, ”dedi.
“Saldırgan ayrıca, MSP’nin RMM örneği aracılığıyla erişimlerini, MSP tarafından yönetilen cihaz adları ve yapılandırma, kullanıcılar ve ağ bağlantıları da dahil olmak üzere birden fazla müşteri sitesi hakkında bilgi toplamak için kullandı.”
MSP’nin müşterilerinden biri aynı zamanda bir Sophos müşterisidir ve şirketin yazılımı ve algılama ve yanıt uzmanları, fidye yazılımlarını dağıtmadan önce saldırganların müşterinin ağına erişimini kapatır.
“MSP, çevresinde dijital adli tıp ve olay tepkisi sağlamak için Sophos Rapid Yanıtını verdi” diye eklediler ve bu saldırı ile ilgili uzlaşma göstergelerini paylaştılar.
Dragonforce kimler?
İngiltere perakendecilerine yönelik son yıkıcı saldırıların ardından Dragonforce tanıdık bir isim haline geldi.
Dragonforce, bağlı kuruluşlarına Dragonforce fidye yazılımı ve dağıtmak için gereken altyapı, araçlar ve hizmetler sağlayan bir hizmet olarak fidye yazılımı “kartel” dir, ancak kendi fidye yazılımlarını kullanmalarını da sağlar.
Bu kurulum, saldırı ilişkisini eskisinden daha zor hale getirir. Örneğin, İngiltere perakendecilerine karşı yukarıda belirtilen saldırılarda, saldırganlar dağınık örümcek grubu/kolektif tarafından rezil hale getirilen ancak Dragonforce fidye yazılımı ve adını kullandılar.
RAAS modelinin ortaya çıkması, ana RAAS grubunu ve bağlı kuruluşunu içeren çoğu fidye yazılımı saldırısına yol açmıştır, ancak birincisinin katılımı, bağlı kuruluşlara sağladıkları hizmetlere bağlı olarak minimum veya önemli olabilir (örneğin, fidye yazılımı dağıtım veya fidye müzakeresine yardım).
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!