Erkennung der Ausbeutung von SimpleHelp RMM-Schwachstellen: CISA warnt vor Bedrohungsakteuren, die ungepatchte Schwachstellen für dauerhaften Zugriff und Ransomware-Bereitstellung missbrauchen
Inhaltsverzeichnis:
Die Cybersecurity and Infrastructure Security Agency (CISA) hat eine Warnung herausgegeben, die darauf hinweist, dass Ransomware-Akteure ungepatchte Sicherheitslücken in der Remote Monitoring and Management (RMM) Software von SimpleHelp ausnutzen—a Taktik, die seit Anfang 2025 zunehmend zur Kompromittierung von Organisationen verwendet wird.
Mit über 21.000 neuen CVEs, die NIST in diesem Jahr bereits registriert hat, stehen Cybersecurity-Teams unter wachsendem Druck, die Nase vorn zu haben. Die Ausnutzung von Sicherheitslücken bleibt der führende Angriffsvektor, insbesondere für Ransomware- Gruppen. Ein kürzlich von der CISA hervorgehobener Vorfall verdeutlicht diesen Trend: Angreifer nutzten Schwachstellen (CVE-2024-57726, CVE-2024-57727, CVE-2024-57728) in SimpleHelp RMM, um DragonForce Ransomware zu verteilen und sensible Daten zu exfiltrieren unter Verwendung von doppelten Erpressungstaktiken , um die Wirkung zu maximieren.
Erkennung der Ausnutzung von SimpleHelp RMM Schwachstellen zur Ransomware-Verbreitung
Laut Sophos stiegen die durchschnittlichen Kosten für die Wiederherstellung nach Ransomware auf 2,73 Millionen Dollar im Jahr 2024—ein enormer Anstieg von 500 % im Vergleich zum Vorjahr. Da Ransomware-Akteure häufig Software-Schwachstellen ausnutzen (prognostiziert, bis Ende 2025 über 49.000 zu überschreiten), verdeutlicht dieser starke Anstieg die wachsenden finanziellen Auswirkungen von Cyberangriffen und die dringende Notwendigkeit proaktiver Verteidigungsstrategien. Um Bedrohungen wie jene, die SimpleHelp RMM-Schwachstellen ausnutzen, zu überholen, benötigen Cyberverteidiger rechtzeitige, verlässliche Bedrohungsinformationen und umsetzbare Inhalte zur Erkennung, um Angreifer auf jedem Schritt zu überholen.
Registrieren Sie sich auf der SOC Prime Plattform , um Zugriff auf eine spezielle Sammlung von Sigma-Regeln zu erhalten, die die Ausnutzung von SimpleHelp RMM Schwachstellen zur Ransomware-Verbreitung adressieren. Kuratierte Erkennungsinhalte werden durch eine vollständige Produktsuite für KI-gestütztes Erkennungs-Engineering, automatisierte Bedrohungssuche und fortschrittliche Bedrohungserkennung unterstützt. Einfach auf den Erkennung erkunden Knopf unten klicken und sofort in einen relevanten Inhaltsstapel eintauchen.
Sicherheitsexperten können auch die breitere Sammlung von Erkennungsregeln für die Ausnutzung von Schwachstellen erkunden, indem sie mit dem breiteren „CVE“ Tag suchen oder das „Ransomware“ Tag verwenden, um ein Set von Erkennungsregeln zu Ransomware-Angriffen weltweit zuzugreifen.
Alle Regeln auf der SOC Prime Plattform sind mit mehreren SIEM-, EDR- und Data-Lake-Lösungen kompatibel und auf das MITRE ATT&CK® Frameworkabgebildet. Darüber hinaus enthält jede Regel detaillierte Metadaten, einschließlich Bedrohungsintelligenz Referenzen, Angriffszeitpläne, Handlungsempfehlungen und mehr.
Darüber hinaus könnten Sicherheitsexperten die Bedrohungsermittlung vereinfachen, indem sie Uncoder AI – eine private IDE & Co-Pilot für das bedrohungsinformierte Erkennungs-Engineering – verwenden. Erzeugung von Erkennungsalgorithmen aus Rohbedrohungsberichten, Durchführung schneller IOC-Abfragen in leistungsoptimierten Abfragen, Vorhersage von ATT&CK-Tags, Optimierung von Abfragecodes mit KI-Tipps und Übersetzung dieser in mehrere SIEM-, EDR- und Data-Lake-Sprachen.
Ausnutzung der SimpleHelp Software: Was steckt hinter dem Angriff
Sophos untersuchte kürzlich einen gezielten Angriff auf einen MSP, bei dem Angreifer das SimpleHelp RMM-Tool des Anbieters im initialen Angriffsstadium kompromittierten. Die Angreifer setzten weiter die DragonForce Ransomware auf mehreren Systemen ein und stahlen sensible Daten und setzten eine doppelte Erpressungsstrategie ein, um Opfer unter Druck zu setzen, zu zahlen.
Laut Sophos nutzten die Angreifer eine Schwachstellenkette, die CVE-2024-57727einschließt, mehrere Pfadtransversalfehler, CVE-2024-57728, eine Arbiträre-Datei-Upload-Schwachstelle, und CVE-2024-57726, eine Privilegieneskalations-Schwachstelle, umfasste.
DragonForce ist ein hochentwickelter RaaS Betrieb, der Mitte 2023 auftauchte. Laut Forschern begann die Gruppe im März 2025 sich als „Kartell“ zu rebranden und wechselte zu einem verteilten Affiliate-Modell, um eine breitere Palette von Bedrohungsakteuren anzuziehen. Diese Umpositionierung hat das Profil der Gruppe erheblich erhöht. DragonForce behauptete kürzlich, die Kontrolle über eine Infrastruktur erlangt zu haben, die zuvor mit RansomHubassoziiert war, und wird nun Berichten zufolge von hochkarätigen Ransomware-Wartungsteams, darunter Scattered Spider (UNC3944), verwendet. Diese Gruppe, die zuvor mit RansomHub in Verbindung gebracht wurde, wurde mit Angriffen auf große Einzelhandelsketten sowohl im Vereinigten Königreich als auch in den USA unter Verwendung der DragonForce Ransomware-Payload in Verbindung gebracht.
Sophos entdeckte die Kampagne, nachdem ein verdächtiger SimpleHelp-Installer entdeckt wurde, der über das legitime RMM-Tool des MSP bereitgestellt wurde. Angreifer erhielten über das angezielte RMM Zugang, um Daten in diversen Kundenumgebungen zu sammeln. Ein MSP-Kunde war in der Lage, die Ransomware und den Datendiebstahl zu blockieren. Andere Kunden waren jedoch sowohl von der Ransomware-Verteilung als auch der Datenexfiltration betroffen.
Am 12. Juni 2025 hat CISA eine Empfehlung herausgegeben als Reaktion auf Ransomware-Akteure, die ungepatchte Schwachstellen in der SimpleHelp RMM-Software ausnutzen, um die Kunden eines Abrechnungsdienstleisters für Versorgungsleistungen anzugreifen. DragonForce-Hacker haben wahrscheinlich CVE-2024-57727 bewaffnet, um ungepatchte SimpleHelp RMM-Einheiten ins Visier zu nehmen, um Dienstleistungen zu stören und doppelte Erpressungsangriffe durchzuführen.
SimpleHelp-Versionen 5.5.7 und früher enthalten mehrere Sicherheitsmängel, darunter die oben erwähnte CVE-2024-57727. Bemerkenswerterweise fügte CISA CVE-2024-57727 am 13. Februar 2025 seinem KEV-Katalog hinzu.
CISA empfiehlt dringend, umgehend die Minderungsmaßnahmen anzuwenden, um potenziellen Ransomware-Angriffen, die SimpleHelp RMM-Software ausnutzen, zu begegnen, da bestätigte Kompromisse oder ein erhebliches Ausnutzungsrisiko bestehen. Wenn SimpleHelp in eine Anbieter-Software eingebettet ist oder von einem Drittanbieter verwendet wird, empfehlen Verteidiger, die Serverversion in der serverconfig.xml Datei zu identifizieren. Sollte seit Januar 2025 die Version 5.5.7 oder früher verwendet worden sein, sollten Anbieter den SimpleHelp-Server isolieren oder herunterfahren, umgehend auf die neueste Version gemäß dem SimpleHelp-Sicherheitshinweisaktualisieren, nachgelagerten Kunden benachrichtigen und diese auffordern, Endpunkte zu sichern und Bedrohungsjagden einzuleiten. Darüber hinaus gehören zu den Minderungsmaßnahmen das Führen eines aktuellen Bestands an Ressourcen, die Sicherstellung regelmäßiger System-Backups auf Offline-, vom Netzwerk getrennten Speichern, die kontinuierliche Bewertung der Risiken im Zusammenhang mit RMM-Software und die Überprüfung der von Drittanbietern implementierten Sicherheitskontrollen.
Verteidiger haben diesen Angriff, der sich auf SimpleHelp RMM-Instanzen konzentriert, als besonders gefährlich eingestuft, da er sich auf Anbieter von Abrechnungssoftware für Versorgungsleistungen konzentriert, die als kritische Verbindungsglieder zwischen Infrastrukturbetreibern und Endanwendern fungieren. Der Einsatz von doppelten Erpressungstaktiken gegen diese wertvollen Mittler unterstreicht den fortgeschrittenen Charakter der Kampagne und den dringenden Bedarf an proaktiven, mehrschichtigen Sicherheitsmaßnahmen. Durch den Einsatz des vollständigen Produktportfolios von SOC Prime , das durch KI, Automatisierung und Live-Bedrohungsinformationen unterstützt wird, können Unternehmen proaktiv jede ausgeklügelte Bedrohung identifizieren und Angriffe in ihren frühesten Stadien vereiteln.
