Ваш админ стал их точкой входа. И вместе с ним — вся ваша сеть

Операторы вымогательской программы DragonForce атаковали поставщика управляемых IT-услуг (MSP), использовав его платформу удалённого администрирования SimpleHelp для кражи данных и установки шифровальщиков на компьютеры клиентов. По данным компании Sophos, расследовавшей инцидент, для проникновения в систему злоумышленники использовали связку известных уязвимостей в SimpleHelp, получивших идентификаторы CVE-2024-57726, CVE-2024-57727 и CVE-2024-57728.

SimpleHelp — это коммерческий инструмент для удалённой поддержки и управления, активно применяемый MSP-компаниями для обслуживания инфраструктуры своих клиентов. В рамках атаки злоумышленники сначала провели разведку, собирая информацию об организациях-клиентах, включая имена устройств, конфигурации, данные пользователей и сетевые соединения. Затем они перешли к краже данных и развёртыванию шифровальщиков, используя SimpleHelp как транспорт.

Sophos удалось заблокировать попытки внедрения на одной из клиентских сетей. Однако остальные клиенты MSP не были защищены: злоумышленники успешно зашифровали устройства и похитили данные, что дало им возможность реализовать двойное вымогательство — требуя плату за дешифровку и угрожая публикацией информации. Для защиты других организаций Sophos опубликовала индикаторы компрометации (IoC), связанные с этой атакой.

Атака вновь поднимает проблему уязвимости MSP как канала распространения атак. Вымогательские группировки давно рассматривают такие компании как приоритетную цель, ведь одно успешное вторжение может открыть доступ сразу к десяткам или сотням жертв. Некоторые аффилированные участники рынков киберпреступности даже специализируются на эксплуатации популярных MSP-инструментов, включая SimpleHelp, ConnectWise ScreenConnect и Kaseya.

Среди громких примеров — масштабная атака REvil на инфраструктуру Kaseya в 2021 году, последствия которой затронули более тысячи организаций по всему миру.

Группировка DragonForce, ответственная за новый инцидент, активно наращивает влияние. Ранее она уже попала в поле зрения специалистов после громких атак на британские ритейлы Marks & Spencer и Co-op. В этих инцидентах применялись методики, сходные с приёмами группировки Scattered Spider, включая использование корпоративных инструментов администрирования и социальной инженерии. В случае Co-op в результате утечки пострадали персональные данные большого количества клиентов.

Растущий список жертв и гибкая модель распространения только усиливают позиции DragonForce в киберпреступной среде. Группировка предлагает так называемую модель white-label RaaS (ransomware-as-a-service) — партнёры могут использовать фирменный шифровальщик под собственным брендом. Такая стратегия делает платформу особенно привлекательной для аффилиатов и создаёт угрозу дальнейшего расширения масштабов атак.