DragonForce explora vulnerabilidades do SimpleHelp para infiltração de ransomware em endpoints via MSP

Um grupo de hackers conhecido como DragonForce realizou um ataque cibernético sofisticado contra um Provedor de Serviços Gerenciados (MSP, na sigla em inglês) não identificado, explorando vulnerabilidades no software de monitoramento e gerenciamento remoto SimpleHelp. A ação, que resultou na exfiltração de dados e na disseminação de ransomware em múltiplos endpoints de clientes, expôs a crescente ameaça de ataques à cadeia de suprimentos no cenário cibernético global.

Segundo a empresa de cibersegurança Sophos, os invasores aproveitaram três falhas de segurança no SimpleHelp (CVE-2024-57727, CVE-2024-57728 e CVE-2024-57726), divulgadas em janeiro de 2025, para comprometer a infraestrutura do MSP.

O ataque começou com a instalação suspeita de um arquivo do SimpleHelp, distribuído por meio de uma instância legítima do software, hospedada e operada pelo MSP para atender seus clientes. A partir desse acesso, os hackers coletaram informações detalhadas sobre os ambientes dos clientes, incluindo nomes de dispositivos, configurações, usuários e conexões de rede.

Apesar de um dos clientes do MSP ter conseguido interromper o acesso dos invasores à rede, outros foram gravemente afetados, sofrendo roubo de dados e ataques de ransomware, configurando o que os especialistas chamam de "extorsão dupla" — uma tática que combina criptografia de dados com ameaças de vazamento.

A DragonForce, que recentemente reformulou sua operação como um "cartel" de ransomware, tem se destacado no mundo cibernético por oferecer um modelo de afiliados que permite a outros criminosos criarem suas próprias versões do ransomware sob diferentes nomes. Esse modelo atraiu atenção após a desfiguração de sites de vazamento operados por grupos como BlackLock e Mamona, além de uma aparente "tomada hostil" do grupo RansomHub, que ganhou notoriedade após o colapso de operações como LockBit e BlackCat em 2024.

No Reino Unido, a DragonForce esteve no centro das atenções devido a uma série de ataques contra o setor varejista desde o final de abril de 2025, forçando empresas a desativarem partes de seus sistemas de TI para conter os danos.

A análise da Cyberint sugere que o grupo Scattered Spider, conhecido por métodos de intrusão centrados em identidades e ambientes de nuvem, pode ter desempenhado um papel crucial ao facilitar o acesso inicial para a DragonForce. Scattered Spider, parte de uma rede criminosa mais ampla chamada The Com, permanece enigmática, mesmo após a prisão de supostos membros em 2024. A falta de clareza sobre o recrutamento de jovens no Reino Unido e nos Estados Unidos para essas operações aumenta a complexidade do cenário.

O ataque também destaca a fragmentação e a descentralização no ecossistema de ransomware, com grupos competindo por domínio em um mercado marcado por baixa lealdade entre afiliados. A crescente utilização de inteligência artificial (IA) no desenvolvimento de malware e na escalabilidade de campanhas amplifica as preocupações.

"A DragonForce não é apenas mais uma marca de ransomware; é uma força desestabilizadora que busca reformular o cenário de crimes cibernéticos", afirmou Aiden Sinnott, pesquisador sênior da Unidade de Contra-Ameaças da Sophos.

Paralelamente, outros grupos, como o 3AM, têm combinado técnicas de bombardeio de e-mails e vishing (phishing por voz), se passando por suporte técnico para enganar funcionários e obter acesso remoto via ferramentas como o Microsoft Quick Assist. Essas táticas permitem a entrega de payloads adicionais, como o backdoor QDoor, que estabelece um ponto de apoio silencioso nas redes comprometidas. Apesar de o ataque da DragonForce ter sido contido antes da execução completa do ransomware, os hackers permaneceram nas redes por nove dias, roubando dados sensíveis.

Especialistas da Sophos recomendam que empresas intensifiquem a conscientização dos funcionários e implementem políticas rigorosas para limitar o acesso remoto, bloqueando a execução de máquinas virtuais e softwares de controle remoto em dispositivos não autorizados. Além disso, o bloqueio de tráfego de rede associado a ferramentas de acesso remoto, exceto em sistemas designados, é essencial para mitigar riscos. O caso reforça a necessidade de vigilância contínua em um cenário onde a sofisticação e a ousadia dos hackers continuam a evoluir.

Via - THN