DragonForce heeft een dubbele aanval uitgevoerd door eerst een MSP te treffen en vervolgens via diens beheersoftware ransomware te verspreiden.
Dit meldt The Register. De aanval begon toen cybercriminelen misbruik maakten van beveiligingslekken in SimpleHelp, een populaire tool voor extern beheer en monitoring. Hierdoor konden ze DragonForce-ransomware op meerdere systemen installeren én vertrouwelijke data buitmaken.
Volgens beveiligingsbedrijf Sophos werd naast de ransomware ook gebruikgemaakt van afpersing. De daders dreigden met het openbaar maken van gegevens als er niet werd betaald. Sophos maakte niet bekend welke MSP precies werd getroffen of hoeveel klanten er slachtoffer zijn geworden.
DragonForce is een relatief nieuwe speler op het gebied van ransomware-as-a-service en kreeg in april bekendheid toen de criminele groep Scattered Spider de software gebruikte om grote winkelketens in het VK en de VS te infecteren. Sindsdien bieden ze hun infrastructuur aan andere criminelen aan om ransomware te verspreiden.
Aanval met grote impact
MSP’s zijn aantrekkelijke doelwitten voor cybercriminelen, omdat zij toegang hebben tot meerdere klantomgevingen tegelijk. In dit geval leverde het misbruik van SimpleHelp een nog grotere impact op: deze software wordt op duizenden servers gebruikt, waardoor een aanvaller ransomware kan verspreiden alsof het een reguliere update betreft.
De aanval draaide volgens Sophos niet alleen om het infecteren van systemen, maar ook om informatievergaring. Via de SimpleHelp-installatie verzamelden de aanvallers gegevens over klantomgevingen, waaronder apparaatinformatie, gebruikers en netwerkverbindingen.
Sophos vermoedt met redelijke zekerheid dat een partner van DragonForce gebruikmaakte van een combinatie van kwetsbaarheden in SimpleHelp. Deze lekken werden begin dit jaar al door SimpleHelp gepatcht.
In februari waarschuwden overheden in zowel de VS als het VK al voor actief misbruik van deze kwetsbaarheden. Sophos publiceerde een lijst met indicatoren van deze aanval op GitHub. Gebruikers wordt aangeraden om de nieuwste updates van SimpleHelp zo snel mogelijk te installeren.