Aktor ancaman di balik ransomware Dragonforce memperoleh akses ke alat pemantauan dan manajemen jarak jauh penyedia layanan terkelola (MSP) yang tidak disebutkan namanya, dan kemudian memanfaatkannya untuk mengekspiltrasi data dan menjatuhkan loker pada beberapa titik akhir.
Dipercayai bahwa para penyerang mengeksploitasi trio kekurangan keamanan di SimpleHelp (CVE-2024-57727, CVE-2024-57728, dan CVE-2024-57726) yang diungkapkan pada Januari 2025 untuk mengakses deploy SimpleHelp MSP, menurut sebuah analisis dari COUD dari COUD.
Perusahaan cybersecurity mengatakan pihaknya diperingatkan setelah pemasangan yang mencurigakan dari file pemasang SimpleHelp, didorong melalui instance RMM SimpleHelp yang sah yang di -host dan dioperasikan oleh MSP untuk pelanggan mereka.
Aktor ancaman juga telah ditemukan untuk memanfaatkan akses mereka melalui instance RMM MSP untuk mengumpulkan informasi dari lingkungan pelanggan yang berbeda tentang nama dan konfigurasi perangkat, pengguna, dan koneksi jaringan.
Meskipun salah satu klien MSP dapat menutup akses penyerang ke jaringan, sejumlah pelanggan hilir lainnya dipengaruhi oleh pencurian data dan ransomware, akhirnya membuka jalan untuk serangan ekstorsi ganda.
Serangan rantai pasokan MSP menyoroti tradecraft yang berkembang dari sebuah kelompok yang telah memposisikan dirinya sebagai salah satu opsi yang paling menguntungkan bagi aktor afiliasi di dunia kejahatan dunia maya dengan menawarkan bagian laba yang menguntungkan.
Dragonforce, dalam beberapa bulan terakhir, telah mendapatkan daya tarik untuk perombakannya menjadi “kartel” ransomware dan porosnya ke model branding afiliasi baru yang memungkinkan penjahat cyber lainnya untuk menelurkan versi loker mereka sendiri dengan nama yang berbeda.
Munculnya kartel bertepatan dengan defacements dari situs kebocoran yang dioperasikan oleh Blacklock dan Mamona Ransomware Groups, dan apa yang tampaknya menjadi “pengambilalihan yang bermusuhan” Ransomhub, kru E-Crime yang produktif yang lepas landas setelah kematian Lockbit dan Blackcat tahun lalu.
Serangkaian serangan yang menargetkan sektor ritel Inggris sejak akhir bulan lalu telah membawa lebih banyak sorotan pada aktor ancaman. Serangan, per BBC, telah menyebabkan perusahaan yang terkena dampak menutup bagian -bagian dari sistem TI mereka.
“Sementara Dragonforce mengambil kredit untuk fase pemerasan dan bocor data, bukti yang berkembang menunjukkan bahwa kelompok lain – Spider yang tersebar – mungkin telah memainkan peran dasar dalam memungkinkan serangan itu,” kata Cyberint. “Dikenal karena metode intrusi cloud-first, identitas-sentris, Spider yang tersebar muncul sebagai pialang akses atau kolaborator yang mungkin dalam model afiliasi Dragonforce.”
Laba-laba yang tersebar, yang dengan sendirinya merupakan bagian dari kolektif rajutan yang lebih besar yang dikenal sebagai COM, tetap menjadi semacam misteri meskipun ada penangkapan anggota yang diduga pada tahun 2024, kurang visibilitas tentang bagaimana anak-anak dari Inggris dan AS direkrut ke jaringan kriminal.
Temuan ini menunjuk ke lanskap yang mudah menguap di mana kelompok ransomware semakin memecah -belah, desentralisasi, dan berjuang melawan loyalitas afiliasi rendah. Menambah kekhawatiran adalah meningkatnya penggunaan kecerdasan buatan (AI) dalam pengembangan malware dan penskalaan kampanye.
“Dragonforce bukan hanya merek ransomware lain – ini adalah kekuatan yang tidak stabil yang mencoba membentuk kembali lanskap ransomware,” Aiden Sinnott, peneliti ancaman senior di Unit Ancaman Sophos Counter, mengatakan.
“While in the UK, the group has dominated recent headlines after high-profile attacks on retailers, behind the scenes of the ransomware ecosystem there seems to be some jostling between it and e-crime groups such as RansomHub. As the ecosystem continues to quickly evolve after the takedown of LockBit, this 'turf war' highlights the efforts of this group, in particular, to claim dominance.”
Lockbit mengalami kemunduran operasional besar setelah infrastrukturnya dibongkar pada awal 2024 sebagai bagian dari tindakan penegakan hukum internasional yang disebut Operasi Cronos.
Meskipun kelompok itu berhasil membangun kembali dan melanjutkan kegiatannya sampai batas tertentu, itu ditangani dengan pukulan lain awal bulan ini setelah panel afiliasi web yang gelap dirusak untuk memasukkan tautan ke tempat pembuangan basis data yang berisi ribuan obrolan negosiasi, pembuatan kustom, dan pekerjaannya pada panel Lockbit Lite Lockbit yang lebih rendah.
“Dari log obrolan dan catatan build ransomware, hingga konfigurasi afiliasi dan tuntutan tebusan, data menunjukkan Lockbit keduanya terorganisir dengan baik dan metodis,” kata Ontinue dalam tulisan yang melelahkan dari kebocoran tersebut. “Afiliasi memainkan peran utama dalam menyesuaikan serangan, menuntut pembayaran, dan bernegosiasi dengan para korban.”
Pengembangan datang sebagai penyerang dari beberapa kelompok, termasuk ransomware jam 3 pagi, menggunakan kombinasi pemboman email dan Vishing untuk melanggar jaringan perusahaan dengan menyamar sebagai dukungan teknis untuk menipu karyawan dan insinyur sosial mereka untuk memberikan akses jarak jauh ke komputer mereka menggunakan Microsoft Quick Assist.
Akses awal kemudian disalahgunakan untuk menjatuhkan muatan tambahan, termasuk jaringan backdoor yang disebut Qdoor yang memungkinkan para penyerang untuk membuat pijakan di jaringan tanpa menarik perhatian. Perlu dicatat bahwa backdoor sebelumnya diamati dalam serangan Blacksuit dan Lynx Ransomware.
Sophos mengatakan sementara serangan ransomware akhirnya digagalkan, para penyerang berhasil mencuri data dan tinggal di jaringan selama sembilan hari sebelum mencoba meluncurkan loker,
“Kombinasi pemboman Vishing dan Email terus menjadi kombinasi yang kuat dan efektif untuk penyerang ransomware – dan kelompok ransomware 3 pagi kini telah menemukan cara untuk mengambil keuntungan dari enkripsi jarak jauh untuk tetap tidak terlihat dari perangkat lunak keamanan tradisional,” Sean Gallagher, peneliti ancaman utama di Sopos, mengatakan.
“Agar tetap aman, perusahaan harus memprioritaskan kesadaran karyawan dan secara ketat membatasi akses jarak jauh. Ini termasuk menggunakan kebijakan untuk memblokir pelaksanaan mesin virtual dan perangkat lunak akses jarak jauh pada komputer yang seharusnya tidak memiliki perangkat lunak seperti itu. Selain itu, perusahaan harus memblokir semua lalu lintas jaringan yang masuk dan keluar yang terkait dengan remote control kecuali dari sistem yang ditunjuk untuk akses jarak jauh.”
