En un alarmante incidente de ciberseguridad, el grupo de ransomware DragonForce logró comprometer una herramienta de monitoreo y administración remota (RMM) utilizada por un proveedor de servicios administrados (MSP), desencadenando una cadena de ataques que afectó a múltiples clientes. Los actores de amenazas aprovecharon vulnerabilidades críticas en el software SimpleHelp (CVE-2024-57726, CVE-2024-57727 y CVE-2024-57728), reveladas en enero de 2025, para infiltrarse en la infraestructura del MSP y lanzar una campaña de ransomware de doble extorsión.
Vulnerabilidades explotadas en SimpleHelp
El punto de entrada clave fue SimpleHelp, una herramienta ampliamente utilizada por los MSP para brindar soporte remoto. Sophos, la firma de ciberseguridad que investigó el incidente, indicó que los atacantes distribuyeron instaladores maliciosos de SimpleHelp a través de una instancia legítima del software, lo que permitió comprometer múltiples entornos de clientes. El uso malicioso de la RMM incluyó la recopilación de datos confidenciales como nombres de dispositivos, configuraciones de red, usuarios y credenciales.
A pesar de que uno de los clientes del MSP logró detectar y bloquear el acceso malicioso, otros fueron víctimas de la exfiltración de datos y posterior cifrado mediante ransomware, lo que demuestra el riesgo sistémico que representa un único proveedor comprometido en la cadena de suministro.
DragonForce: Un cártel de ransomware en expansión
DragonForce ha ganado notoriedad en los últimos meses por su transformación de grupo de ransomware a cártel cibernético, ofreciendo una atractiva participación en ganancias a afiliados y facilitando la creación de versiones personalizadas del casillero. Este modelo de ransomware como servicio (RaaS) permite que distintos actores criminales utilicen la infraestructura del grupo para lanzar sus propias campañas bajo distintas marcas.
Este fenómeno ha coincidido con la caída de grupos rivales como LockBit, BlackCat y RansomHub, algunos de los cuales han sido blanco de operaciones policiales internacionales. La desestabilización del ecosistema tradicional ha creado un entorno propicio para que DragonForce reclame una porción mayor del mercado cibercriminal.
Colaboraciones y conflictos: Scatter Spider y The Com
Un elemento crucial del nuevo modelo de DragonForce es su colaboración con otros actores, como Scatter Spider, un grupo especializado en intrusiones centradas en la identidad y que forma parte de un colectivo más amplio denominado The Com. Investigadores de Cyberint han sugerido que Scatter Spider podría estar facilitando el acceso inicial en las campañas de ransomware atribuidas a DragonForce, actuando como broker de acceso o colaborador en la operación.
A pesar de algunos arrestos en 2024, la estructura operativa de Scatter Spider sigue siendo opaca. Se sospecha que el grupo recluta jóvenes en Reino Unido y Estados Unidos, manteniendo una red altamente descentralizada y resiliente.
RansomHub y la guerra territorial entre cárteles de ransomware
La fragmentación del ecosistema de ransomware ha provocado conflictos entre grupos. DragonForce ha sido vinculado a la desfiguración de sitios web de filtraciones operados por BlackLock y a una aparente “adquisición hostil” de RansomHub, grupo que había tomado fuerza tras el desmantelamiento de LockBit y BlackCat. Este tipo de rivalidad entre cárteles demuestra que la competencia entre actores maliciosos se está intensificando en medio del colapso de estructuras criminales consolidadas.
Nuevas tácticas: Ingeniería social y cifrado remoto
Además de vulnerabilidades técnicas, los actores de ransomware están recurriendo a tácticas de ingeniería social. Sophos informó sobre el uso combinado de vishing (llamadas telefónicas fraudulentas) y bombardeo de correos electrónicos para engañar a empleados y obtener acceso remoto mediante herramientas como Microsoft Quick Assist. Una vez dentro, los atacantes desplegaron malware como QDoor, una puerta trasera para establecer persistencia sin ser detectados por soluciones de seguridad tradicionales.
Esta técnica también ha sido utilizada por el grupo de ransomware 3AM, que emplea cifrado remoto para eludir software antivirus y mantenerse oculto mientras cifra los archivos de las víctimas.
El caso LockBit: Filtraciones y reorganización
LockBit, que hasta febrero de 2024 era el grupo de ransomware más prolífico del mundo, sufrió un duro golpe con la Operación Cronos, una acción policial internacional que desmanteló gran parte de su infraestructura. Aunque intentó reconstruirse, en mayo de 2025 su panel de afiliados fue desfigurado y se filtraron bases de datos que incluían miles de chats, configuraciones, demandas de rescate y compilaciones personalizadas del ransomware LockBit Lite.
Según el informe de Ontinue, esta filtración revela una organización meticulosa y jerárquica, donde los afiliados tienen roles clave en la personalización de los ataques, negociación con víctimas y gestión de pagos.
Recomendaciones de seguridad
Ante este panorama, Sophos recomienda a las empresas:
-
Restringir estrictamente el uso de software de acceso remoto.
-
Implementar políticas que bloqueen la ejecución de máquinas virtuales en dispositivos no autorizados.
-
Bloquear tráfico de red entrante y saliente asociado con acceso remoto, salvo desde sistemas designados.
-
Fortalecer la conciencia del personal frente a amenazas de ingeniería social como vishing y phishing.
El entorno de amenazas cibernéticas está evolucionando rápidamente. Grupos como DragonForce no solo representan un riesgo por su capacidad técnica, sino también por su impacto estructural en el ecosistema del cibercrimen global. Su enfoque descentralizado, basado en afiliaciones y alianzas estratégicas, marca una nueva etapa en la guerra contra el ransomware.
Fuente: The Hacker News
