DragonForce ransomware hakira SimpleHelp RMM alat za napad na MSP-ove

DragonForce Ransomware Grupa Iskorištava Različite SimpleHelp Ranjivosti

Stručnjaci su upozorili da ransomware grupa DragonForce koristi višestruke ranjivosti u SimpleHelp softveru kako bi probila sustave, ukrala osjetljive datoteke i pokrenula enkripciju. U nedavnom blogu, istraživači iz Sophos MDR-a otkrili su da su obaviješteni o incidentu kada su primijetili “sumnjivu instalaciju” SimpleHelp instalacijskog datoteke na sustavu pružatelja upravljanih usluga (MSP).

Prevara na Pružateljima Usluga

Taj pružatelj je završio s napadom ransomwareom, ali jedan od njegovih klijenata bio je uključen u MDR program i imao je aktiviranu XDR zaštitu, što je upozorilo istraživače na situaciju.

Što je SimpleHelp?

SimpleHelp je softver za daljinsku podršku i pristup, samostalno hostan. Istraživanje otkriva da je u siječnju 2025. godine u njemu pronađeno nekoliko ranjivosti uključujući:

• CVE-2024-57727: Flaw višestrukog prolaska putanjem
• CVE-2024-57728: Ranjivost u prijenosu proizvoljnih datoteka
• CVE-2024-57726: Ranjivost eskalacije privilegija

Prema Sophosu, hakeri iz DragonForce grupe koriste te tri ranjivosti kako bi izveli ransomware napad.

Način Napada

“Instalacijski paket je bio poslan putem legitimnog SimpleHelp RMM instanca, koji je upravljan i hostan od strane MSP-a za njihove klijente,” izjavili su istraživači. Sophos nije imenovao žrtvu niti treću stranu koja je uspješno zaustavila napad.

Aktivnosti DragonForce Grupe

DragonForce je u posljednje vrijeme vrlo aktivan. Krajem travnja 2025. godine, izvještavano je da je grupa predstavila novi poslovni model u ransomware svijetu, koji uključuje suradnju s drugim kriminalnim skupinama. Naime, grupa je ponudila model affiliate marketinga s bijelim etiketama, omogućavajući drugima da koriste njenu infrastrukturu i malver, dok napade brendiraju pod vlastitim imenom.

Ovim modelom, podruge neće morati upravljati infrastrukturom, a DragonForce će se pobrinuti za web stranice za pregovaranje, razvoj malvera i web stranice za curenje podataka.

Zaključak

Ovaj razvoj događaja naglašava važne sigurnosne aspekte zaštite podataka i potrebu za stalnim monitoriranjem sustava. Organizacije bi trebale redovito ažurirati svoj softver i primjenjivati sigurne protokole kako bi se zaštitile od rastuće prijetnje ransomware napadima kao što je ovaj.

Za kraj, ostanite informirani i proaktivni u zaštiti svojih podataka kako biste minimizirali rizike od budućih cyber napada.