Detectar la Explotación de Vulnerabilidades de SimpleHelp RMM: CISA Advierte sobre Actores de Amenazas Abusando de Fallos Sin Corregir para Acceso Persistente y Despliegue de Ransomware
Tabla de contenidos:
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha emitido una alerta notificando sobre actores de ransomware que abusan de vulnerabilidades no parcheadas en el software de Monitoreo y Gestión Remota (RMM) de SimpleHelp, una táctica que se usa cada vez más para comprometer organizaciones desde principios de 2025.
Con más de 21,000 nuevas CVE ya registradas por NIST este año, los equipos de ciberseguridad están bajo una creciente presión para mantenerse a la delantera. La explotación de vulnerabilidades sigue siendo el principal vector de ataque, particularmente para los grupos de ransomware. Un incidente reciente destacado por CISA subraya esta tendencia: los atacantes aprovecharon fallos (CVE-2024-57726, CVE-2024-57727, CVE-2024-57728) en SimpleHelp RMM para desplegar el ransomware DragonForce y exfiltrar datos sensibles, utilizando tácticas de doble extorsión para maximizar el impacto.
Detectar la Explotación de Vulnerabilidades de SimpleHelp RMM para Distribución de Ransomware
Según Sophos, el costo promedio de recuperación de ransomware se disparó a $2.73 millones en 2024, un aumento enorme del 500% respecto al año anterior. Con los actores de ransomware explotando frecuentemente las vulnerabilidades de software (se proyecta que superen las 49,000 para finales de 2025), este agudo aumento subraya el creciente impacto financiero de los ciberataques y la urgente necesidad de estrategias de defensa proactivas. Para mantenerse a la vanguardia de las amenazas como las que aprovechan las fallas de SimpleHelp RMM, los defensores cibernéticos necesitan inteligencia de amenazas oportuna y confiable, así como contenido de detección accionable para adelantarse a los atacantes en cada paso.
Regístrese en la Plataforma SOC Prime para acceder a una colección dedicada de reglas Sigma que abordan la explotación de vulnerabilidades de SimpleHelp RMM para la distribución de ransomware. El contenido de detección curado está respaldado por una suite completa de productos para ingeniería de detección impulsada por IA, caza de amenazas automatizada y detección avanzada de amenazas. Solo presione el botón Explorar Detecciones a continuación e inmediatamente profundice en un conjunto de contenido relevante.
Los profesionales de seguridad también pueden explorar la colección más amplia de reglas de detección para la explotación de vulnerabilidades buscando con la etiqueta más amplia “CVE” o aplicar la etiqueta “Ransomware” para acceder a un conjunto de reglas de detección que cubren ataques de ransomware en todo el mundo.
Todas las reglas en la Plataforma SOC Prime son compatibles con múltiples soluciones SIEM, EDR y Data Lake y se mapearon al marco MITRE ATT&CK®. Además, cada regla viene acompañada de metadatos detallados, incluidos referencias de inteligencia de amenazas, cronogramas de ataques, recomendaciones de triaje, y más. references, attack timelines, triage recommendations, and more.
Además, los expertos en seguridad pueden agilizar la investigación de amenazas usando Uncoder AI – un IDE privado y copiloto para la ingeniería de detección informada por amenazas. Generar algoritmos de detección a partir de informes de amenazas en bruto, habilitar barridos de IOC rápidos en consultas optimizadas para el rendimiento, predecir etiquetas ATT&CK, optimizar el código de consulta con ayudas de IA y traducirlo en múltiples lenguajes de SIEM, EDR y Data Lake.
Explotación del Software SimpleHelp: Qué Hay Detrás del Ataque
Sophos investigó recientemente un ataque dirigido que involucraba a un MSP, en el cual los adversarios comprometieron la herramienta RMM de SimpleHelp del proveedor en la etapa inicial del ataque. Los atacantes además desplegaron el ransomware DragonForce en múltiples sistemas y robaron datos sensibles, ejecutando una estrategia de doble extorsión para presionar a las víctimas a pagar.
Sophos afirma que los atacantes aprovecharon una cadena de vulnerabilidades, que incluye CVE-2024-57727, múltiples fallos de recorrido de ruta, CVE-2024-57728, una vulnerabilidad de carga de archivos arbitraria, y CVE-2024-57726, una falla de escalada de privilegios.
DragonForce es una sofisticada operación RaaS que surgió a mediados de 2023. Según los investigadores, el grupo comenzó a cambiar su marca en marzo de 2025 como un “cartel”, cambiando a un modelo de afiliación distribuido para atraer a un rango más amplio de actores de amenazas. Este reposicionamiento ha elevado significativamente el perfil del grupo. DragonForce afirmó recientemente el control sobre infraestructura previamente asociada con RansomHub, y ahora supuestamente está siendo utilizada por mantenedores de ransomware de alto perfil, incluyendo a Scattered Spider (UNC3944). Este grupo, previamente asociado con RansomHub, ha estado vinculado a ataques en grandes cadenas minoristas tanto en el Reino Unido como en Estados Unidos utilizando la carga útil de ransomware DragonForce.
Sophos descubrió la campaña después de detectar un instalador de SimpleHelp sospechoso, desplegado a través de la instancia legítima de RMM del MSP. Los atacantes obtuvieron acceso a través del RMM target para recopilar datos en diversos entornos de clientes. Un cliente MSP pudo bloquear el ransomware y el robo de datos. Sin embargo, otros clientes se vieron afectados por el despliegue de ransomware y la exfiltración de datos.
El 12 de junio de 2025, CISA emitió un aviso en respuesta a actores de ransomware explotando vulnerabilidades no parcheadas en el software RMM de SimpleHelp para violar a los clientes de un proveedor de facturación de servicios públicos. Los hackers de DragonForce probablemente armaron CVE-2024-57727 para atacar entidades de SimpleHelp RMM sin parchear con el fin de interrumpir servicios y realizar ataques de doble extorsión.
Las versiones 5.5.7 y anteriores de SimpleHelp contienen múltiples fallos de seguridad, incluyendo la mencionada CVE-2024-57727. Notablemente, CISA agregó CVE-2024-57727 a su Catálogo KEV el 13 de febrero de 2025.
CISA recomienda encarecidamente aplicar prontamente las medidas de mitigación contra ataques de ransomware potenciales que utilicen el software SimpleHelp RMM debido a compromisos confirmados o un riesgo significativo de explotación. Si SimpleHelp está integrado en software del proveedor o utilizado por un tercero, los defensores recomiendan identificar la versión del servidor en el archivo serverconfig.xml . Si la versión 5.5.7 o anterior ha sido utilizada desde enero de 2025, los proveedores deben aislar o apagar el servidor SimpleHelp, actualizar prontamente a la última versión según el aviso de seguridad de SimpleHelp, notificar a los clientes descendentes, y aconsejarles asegurar los puntos finales e iniciar la caza de amenazas. Además, las medidas de mitigación incluyen mantener un inventario de activos actualizado y garantizar copias de seguridad del sistema regulares en dispositivos de almacenamiento desconectados, evaluar continuamente los riesgos asociados con el software RMM, y verificar los controles de seguridad implementados por los proveedores de terceros.
Los defensores han considerado este ataque dirigido a instancias de SimpleHelp RMM especialmente peligroso debido a su enfoque en proveedores de software de facturación de servicios públicos, que actúan como enlaces críticos entre los operadores de infraestructura y los usuarios finales. El uso de tácticas de doble extorsión contra estos intermediarios de alto valor destaca la naturaleza avanzada de la campaña y la urgente necesidad de medidas de ciberseguridad proactivas y multinivel. Al confiar en la suite completa de productos de SOC Prime respaldada por IA, automatización e inteligencia de amenazas en vivo, las organizaciones pueden identificar proactivamente amenazas sofisticadas y prevenir ataques en sus etapas más tempranas.
