O grupo cibercriminoso DragonForce foi responsabilizado por uma campanha de ataques que exploram falhas críticas na ferramenta de acesso remoto SimpleHelp, com o objetivo de invadir MSPs (Managed Service Providers) e, em seguida, seus clientes. Segundo um relatório da Sophos, os atacantes têm utilizado vulnerabilidades não corrigidas para obter acesso inicial a redes de provedores de serviços gerenciados, com a finalidade de implantar ransomware e ferramentas de espionagem.
O SimpleHelp é amplamente usado por empresas de suporte técnico e MSPs para oferecer acesso remoto a dispositivos de clientes. No entanto, versões expostas à internet sem atualizações recentes tornaram-se alvos fáceis para os operadores do DragonForce. A Sophos observou que, após obterem acesso a um servidor vulnerável, os atacantes se movimentavam lateralmente pelas redes, comprometendo sistemas adicionais e distribuindo cargas maliciosas.
Durante os ataques, os criminosos implantaram o ransomware TellYouThePass, além de ferramentas como Mimikatz para extração de credenciais e AnyDesk para controle remoto. Também foram utilizados arquivos batch e scripts PowerShell para automatizar a disseminação e execução do ataque. Os especialistas destacaram que o grupo DragonForce tem origem em ambientes extremistas e já foi associado a ataques motivados por razões ideológicas, mas também atua com objetivos financeiros.
O uso de SimpleHelp como vetor de ataque mostra a preferência por explorar ferramentas de uso corporativo amplamente confiáveis, muitas vezes mal configuradas ou desatualizadas. A Sophos alertou que servidores SimpleHelp acessíveis via internet devem ser atualizados imediatamente e protegidos com autenticação multifator, segmentação de rede e monitoramento constante. A exposição desnecessária de ferramentas de suporte remoto pode representar uma porta de entrada crítica para agentes maliciosos.
