O grupo cibercriminoso DragonForce explorou falhas no software de monitoramento remoto SimpleHelp para invadir os sistemas de um provedor de serviços gerenciados (MSP) e distribuir ransomware em dispositivos de diversos clientes. As três vulnerabilidades usadas na ação (CVE-2024-57726, CVE-2024-57727 e CVE-2024-57728) foram divulgadas em janeiro de 2025 e permitiram o acesso à instância legítima do SimpleHelp operada pelo MSP. Com esse acesso, os invasores exfiltraram dados e coletaram informações sobre dispositivos, usuários e redes das empresas atendidas.
Embora um cliente tenha conseguido bloquear a intrusão, outros sofreram com roubo de dados e ataques de ransomware, caracterizando uma campanha de dupla extorsão. O caso revela a sofisticação crescente do DragonForce, que se consolidou como um “cartel de ransomware”, permitindo que afiliados customizem versões do malware com suas próprias marcas. Essa evolução ocorreu paralelamente a ataques e desestruturações de grupos rivais como BlackLock, Mamona e à suposta tomada hostil do coletivo RansomHub.
Indícios apontam que o grupo Scattered Spider pode ter atuado como facilitador dos acessos iniciais. Apesar de prisões em 2024, ainda há pouca clareza sobre o recrutamento de jovens do Reino Unido e dos EUA por coletivos como o The Com. O cenário atual é marcado por descentralização, disputas por domínio entre grupos e uso crescente de inteligência artificial na criação de malwares. Especialistas recomendam limitar o uso de softwares de acesso remoto, bloquear tráfego indevido e reforçar o treinamento de funcionários contra golpes de engenharia social.
Leia mais na mesma categoria:
