Ransomware de DragonForce compromete la herramienta RMM SimpleHelp para atacar a proveedores de servicios gestionados.
DragonForce fue descubierta robando archivos y utilizando programas de cifrado.
Sophos ha identificado un ataque de ransomware por parte del grupo DragonForce, que está utilizando tres vulnerabilidades en la plataforma SimpleHelp para infiltrarse en sistemas, robar archivos confidenciales y desplegar un software de cifrado. Los investigadores de Sophos MDR fueron alertados sobre esta situación después de que se detectara una “instalación sospechosa” de un archivo instalador de SimpleHelp en un sistema de un proveedor de servicios gestionados (MSP).
El incidente resultó en una infección por ransomware, aunque uno de los clientes de esta empresa contaba con la protección de detección y respuesta extendida (XDR) de Sophos MDR, lo cual permitió a los investigadores recibir una notificación.
SimpleHelp es un software de soporte remoto y acceso remoto autohospedado. En enero de 2025, se identificaron en él tres vulnerabilidades: un fallo de recorrido múltiple de ruta (CVE-2024-57727), una vulnerabilidad de carga de archivos arbitrarios (CVE-2024-57728) y un fallo de escalada de privilegios (CVE-2024-57726). Los expertos de Sophos informan que los atacantes de DragonForce están combinando estas tres vulnerabilidades para ejecutar el ransomware.
Los investigadores explicaron que el instalador malicioso fue enviado a través de una instancia legítima de RMM de SimpleHelp, operada por el MSP para sus clientes. El atacante también aprovechó su acceso a esta instancia RMM para recolectar información sobre las diversas cuentas de clientes gestionadas por el MSP, incluyendo nombres de dispositivos, configuraciones, usuarios y conexiones de red.
Sophos no ha revelado la identidad de la víctima ni de la tercera parte que logró bloquear el ataque. DragonForce ha estado bastante activo en el panorama del ransomware recientemente. A finales de abril de 2025, se reportó que el grupo había implementado un nuevo modelo de negocio, que implica colaborar con otros grupos delictivos. Este enfoque incluye un modelo de afiliación de marca blanca, que permite a otros utilizar su infraestructura y malware mientras pueden nombrar los ataques como deseen.
En este modelo, los afiliados no necesitan gestionar la infraestructura, ya que DragonForce se encarga de los sitios de negociación, el desarrollo del malware y los sitios de filtración de datos.
