L’opération de ransomware DragonForce a réussi à infiltrer un fournisseur de services gérés (MSP) et a utilisé sa plateforme de gestion et de surveillance à distance (RMM) SimpleHelp pour voler des données et déployer des chiffreurs sur les systèmes des clients en aval.

Vulnérabilités SimpleHelp exploitées

Sophos a été appelé pour enquêter sur l’attaque et pense que les acteurs de la menace ont exploité une chaîne d’anciennes vulnérabilités SimpleHelp, répertoriées sous les références CVE-2024-57727, CVE-2024-57728 et CVE-2024-57726, pour pénétrer le système.

SimpleHelp est un outil commercial de support et d’accès à distance couramment utilisé par les MSP pour gérer les systèmes et déployer des logiciels sur les réseaux de leurs clients.

Reconnaissance et vol de données

Selon le rapport de Sophos, les acteurs de la menace ont d’abord utilisé SimpleHelp pour effectuer une reconnaissance sur les systèmes des clients, notamment en collectant des informations sur les clients du MSP, telles que les noms et la configuration des appareils, les utilisateurs et les connexions réseau.

Les acteurs de la menace ont ensuite tenté de voler des données et de déployer des déchiffreurs sur les réseaux des clients. Ces tentatives ont été bloquées sur l’un des réseaux grâce à la protection des terminaux sophos. Cependant, les autres clients n’ont pas eu cette chance : leurs appareils ont été chiffrés et des données ont été volées en vue d’attaques à double extorsion.

Indicateurs de compromission (IOC)

Sophos a partagé des IOC liés à cette attaque pour aider les organisations à mieux défendre leurs réseaux.

Les MSP, des cibles de choix

Les MSP sont depuis longtemps une cible de choix pour les groupes de ransomware, car une seule brèche peut entraîner des attaques contre de nombreuses entreprises. Certains affiliés de ransomware se sont spécialisés dans les outils couramment utilisés par les MSP, tels que SimpleHelp, ConnectWise ScreenConnect et Kaseya.

Cela a conduit à des attaques dévastatrices, notamment l’attaque massive de ransomware revil sur Kaseya, qui a touché plus de 1 000 entreprises.

DragonForce : Notoriété croissante après des attaques contre des détaillants britanniques

Le groupe de ransomware DragonForce a récemment gagné en notoriété après avoir été lié à une vague de violations de données très médiatisées dans le secteur du commerce de détail, impliquant des acteurs de la menace utilisant des tactiques de Scattered Spider.

Comme l’a rapporté BleepingComputer, le ransomware du groupe a été déployé lors d’attaques contre le détaillant britannique Marks & Spencer. Peu de temps après,les mêmes acteurs de la menace ont violé un autre détaillant britannique,Co-op, qui a confirmé qu’une quantité importante de données clients avait été volée.

BleepingComputer avait précédemment signalé que DragonForce tente de construire un cartel en proposant un modèle de ransomware-as-a-service (RaaS) en marque blanche, permettant aux affiliés de déployer des versions rebaptisées de son chiffreur.

Avec son approche de plus en plus favorable aux affiliés et sa liste croissante de victimes, DragonForce devient rapidement un acteur majeur dans le paysage des ransomwares.

FAQ sur DragonForce et les attaques de ransomware

• Qu’est-ce que DragonForce ? DragonForce est un groupe de ransomware connu pour cibler les fournisseurs de services gérés (MSP) et les entreprises du secteur du commerce de détail.
• Comment DragonForce infiltre-t-il les systèmes ? DragonForce exploite souvent les vulnérabilités des logiciels de gestion à distance, tels que SimpleHelp, pour accéder aux réseaux des MSP et de leurs clients.
• Que puis-je faire pour me protéger contre DragonForce ? Mettez à jour vos logiciels, surveillez votre réseau pour détecter les activités suspectes et mettez en œuvre une protection robuste des terminaux.