Атака с использованием SimpleHelp: как злоумышленники применяют RMM-инструменты для распространения программ-вымогателей DragonForce
Недавний инцидент, раскрытый компанией Sophos, проливает свет на уязвимости в использовании инструментов удалённого мониторинга и управления (RMM) в инфраструктуре поставщиков управляемых услуг (MSP). Злоумышленник, воспользовавшись легитимным инструментом RMM SimpleHelp, совершил масштабную атаку на несколько организаций, внедрив программу-вымогатель DragonForce и применив стратегию двойного вымогательства.
Что произошло: механизм атаки и используемые инструменты
Атака была инициирована с помощью установочного файла SimpleHelp, который, несмотря на легитимность, был подделан злоумышленником для внедрения вредоносного кода. Используя доступ к клиентским сетям через инструмент RMM, преступник:
- Собрал обширные данные о конфигурациях устройств и пользователях;
- Внедрил программу-вымогатель DragonForce;
- Реализовал стратегию двойного вымогательства, потребовав у жертв выкуп за разблокировку данных и против утечки информации.
Важно отметить, что SimpleHelp является популярным решением среди MSP для управления клиентскими сетями, что делает подобные атаки особенно опасными.
Особенности программы-вымогателя DragonForce
DragonForce — относительно новая угроза в мире программ-вымогателей, появившаяся в середине 2023 года. Она представляет собой сложную платформу ransomware-as-a-service (RaaS), которая недавно прошла серьёзный ребрендинг с целью позиционирования себя как «картель». В рамках этого ребрендинга была внедрена распределённая партнерская модель, позволившая привлекать широкий круг соучастников для проведения атак.
DragonForce уже отметилась громкими атаками, включая масштабные инциденты в крупных розничных сетях Великобритании и США, что подтверждает высокую угрозу и адаптивность этой программы.
Реакция и защита: роль Sophos MDR и Sophos XDR
Инцидент был обнаружен благодаря Sophos MDR, который зафиксировал подозрительный установочный файл SimpleHelp. Особое внимание заслуживает случай одного из пострадавших клиентов, где была развернута система Sophos XDR endpoint protection. Эта система комбинирует поведенческий анализ и технологии обнаружения вредоносных программ, что позволило не только блокировать программу-вымогатель, но и предотвращать попытки двойного вымогательства.
Действия Sophos MDR привели к быстрому закрытию доступа злоумышленника, обеспечив критическую защиту в сети клиента. Однако у MSP и других организаций, не использующих Sophos MDR, последствия оказались намного серьезнее — включая как успешное распространение ransomware, так и утечку конфиденциальных данных.
Последствия инцидента и уроки для информационной безопасности
После атаки MSP обратилась к Sophos Rapid Response для проведения цифровой криминалистики и ликвидации последствий инцидента. Данный случай подчеркнул целый ряд важных проблем:
- Высокая уязвимость инструментов RMM к компрометации и эксплуатации;
- Необходимость комплексной защиты конечных точек, включающей поведенческий анализ и возможности обнаружения угроз;
- Важность оперативного реагирования и наличия специализированных служб Rapid Response для быстрого восстановления после инцидентов.
Этот инцидент служит напоминанием о том, что безопасность MSP и их клиентов является критически важной, и что инструменты, используемые для управления ИТ-инфраструктурой, могут служить как эффективным средством администрирования, так и вектором для атак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Атака DragonForce через RMM SimpleHelp: уроки и защита".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.