Cet article, publié par Bleepingcomputer, rapporte une attaque de ransomware menée par le groupe DragonForce. Les attaquants ont ciblé un fournisseur de services gérés (MSP) en utilisant la plateforme SimpleHelp pour accéder aux systèmes des clients et y déployer des encryptors.
Les chercheurs de Sophos, appelés pour enquêter, ont découvert que les attaquants ont exploité une chaîne de vulnérabilités de SimpleHelp, identifiées comme CVE-2024-57727, CVE-2024-57728, et CVE-2024-57726. Ces failles ont permis aux cybercriminels de réaliser des actions de reconnaissance sur les systèmes des clients, collectant des informations sensibles telles que les noms de dispositifs, les configurations, les utilisateurs et les connexions réseau.
Bien que l’une des tentatives de déploiement de decryptors ait été bloquée grâce à la protection endpoint de Sophos, d’autres clients n’ont pas eu cette chance, subissant des attaques de double extorsion avec des données volées et des dispositifs chiffrés.
Cet incident souligne la vulnérabilité des MSPs face aux attaques, en raison de l’utilisation de logiciels tels que SimpleHelp, ConnectWise ScreenConnect, et Kaseya. L’article vise à informer sur les risques associés à ces outils et à partager les indicateurs de compromission (IOCs) pour aider à renforcer la sécurité des réseaux.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/dragonforce-ransomware-abuses-simplehelp-in-msp-supply-chain-attack/