Il gruppo ransomware DragonForce è tornato sotto i riflettori per aver condotto un attacco sofisticato sfruttando vulnerabilità critiche nel software SimpleHelp, una soluzione di remote monitoring e management (RMM) ampiamente utilizzata dai Managed Service Provider (MSP). Gli aggressori hanno sfruttato tre CVE pubblicate a gennaio 2025 (CVE-2024-57727, CVE-2024-57728, CVE-2024-57726) per ottenere accesso non autorizzato all’installazione SimpleHelp di un MSP, riuscendo così a gestire da remoto i sistemi dei clienti.

Il metodo di attacco ha previsto l’installazione sospetta di un file SimpleHelp tramite una sessione RMM legittima, consentendo ai cybercriminali di raccogliere informazioni dettagliate su dispositivi, utenti e configurazioni di rete dei clienti MSP. Mentre alcuni clienti sono riusciti a bloccare tempestivamente gli accessi malevoli, altri sono stati colpiti da furti di dati e ransomware, subendo anche tentativi di doppia estorsione.

Questa campagna mette in luce l’evoluzione delle strategie di DragonForce, che si sta imponendo come uno dei gruppi più dinamici e redditizi per i cybercriminali affiliati, grazie a un modello di profitto condiviso. Recentemente, DragonForce ha rinnovato il suo approccio trasformandosi in un vero e proprio cartello ransomware, permettendo ad altri gruppi di lanciare versioni personalizzate del locker sotto nuovi nomi. Il fenomeno si intreccia con la cosiddetta “guerra di territorio” tra gruppi storici come RansomHub, BlackLock e Mamona, alimentando la frammentazione del panorama ransomware dopo la caduta di LockBit e BlackCat.

L’ecosistema criminale si sta sempre più decentralizzando, favorendo modelli di affiliazione e collaborazione. Un ruolo chiave lo gioca anche Scattered Spider, gruppo specializzato in intrusioni cloud-first e tecniche di social engineering, spesso in qualità di access broker per DragonForce. L’utilizzo crescente dell’intelligenza artificiale nelle campagne ransomware contribuisce ulteriormente alla rapidità e all’efficacia degli attacchi.

Parallelamente, gruppi come 3AM ransomware utilizzano tecniche combinate di vishing ed email bombing per indurre le vittime a concedere accessi remoti tramite strumenti come Microsoft Quick Assist, eludendo così i controlli di sicurezza tradizionali. Gli aggressori possono così installare backdoor come QDoor e mantenere la persistenza in rete, spesso per giorni prima di lanciare il ransomware vero e proprio.

Raccomandazioni per aziende e MSP

• Rafforzare la consapevolezza degli utenti
• Limitare rigorosamente l’uso di software di accesso remoto
• Implementare policy di segmentazione di rete

Queste misure permettono di bloccare eventuali movimenti laterali e ridurre drasticamente l’esposizione agli attacchi supply chain.