Sophos MDR è recentemente intervenuta in un attacco mirato che ha coinvolto un Managed Service Provider (MSP). In questo caso, un attore della minaccia ha ottenuto l’accesso allo strumento di monitoraggio e gestione remota (RMM) SimpleHelp dell’MSP, utilizzandolo poi per distribuire il ransomware DragonForce su numerosi endpoint. Gli aggressori hanno anche esfiltrato dati sensibili, adottando una tecnica di doppia estorsione per fare pressione sulle vittime affinché pagassero il riscatto.
Sophos MDR ha un livello medio di fiducia che l’attore della minaccia abbia sfruttato una catena di vulnerabilità pubblicate nel gennaio 2025:
- CVE-2024-57727: vulnerabilità multiple di path traversal
- CVE-2024-57728: vulnerabilità di caricamento arbitrario di file
- CVE-2024-57726: vulnerabilità di escalation dei privilegi
DragonForce
DragonForce è un ransomware-as-a-service (RaaS) avanzato e competitivo, emerso per la prima volta a metà del 2023. Come descritto in recenti ricerche della Sophos Counter Threat Unit (CTU), DragonForce ha avviato a marzo un’operazione di rebranding, proponendosi come un “cartello” e adottando un modello di affiliazione distribuita.
In coincidenza con questo tentativo di attrarre un numero maggiore di affiliati, DragonForce ha attirato l’attenzione nel panorama delle minacce rivendicando il “controllo” dell’infrastruttura di RansomHub. Secondo alcune segnalazioni, noti affiliati ransomware – inclusi Scattered Spider (UNC3944), precedentemente affiliati di RansomHub – starebbero utilizzando DragonForce in attacchi mirati contro diverse grandi catene di distribuzione nel Regno Unito e negli Stati Uniti.
L’incidente
Sophos MDR è stata allertata dell’incidente a seguito del rilevamento di un’installazione sospetta di un file installer di SimpleHelp. L’installer è stato distribuito tramite un’istanza RMM legittima di SimpleHelp, ospitata e gestita dall’MSP per i propri clienti. L’aggressore ha inoltre sfruttato l’accesso alla RMM dell’MSP per raccogliere informazioni su più ambienti dei clienti gestiti, incluse informazioni su nomi dei dispositivi, configurazioni, utenti e connessioni di rete.
Un cliente del fornitore di servizi gestiti (MSP) era iscritto al servizio Sophos MDR e aveva implementato la protezione endpoint Sophos XDR. Grazie a una combinazione tra il rilevamento e il blocco comportamentale e di malware offerti dalla protezione endpoint Sophos, e le azioni di Sophos MDR per interrompere l’accesso degli attaccanti alla rete, è stato possibile sventare il tentativo di ransomware e doppia estorsione sulla rete di quel cliente. Tuttavia, l’MSP e i clienti che non utilizzavano Sophos MDR sono stati colpiti sia dal ransomware che dall’esfiltrazione dei dati. L’MSP ha quindi coinvolto il team Sophos Rapid Response per avviare attività di digital forensics e incident response nel proprio ambiente.
Gli indicatori di compromissione (IoC) relativi a questa indagine saranno disponibili su GitHub.
