Détection de l’exploitation des vulnérabilités SimpleHelp RMM : la CISA met en garde contre des acteurs malveillants abusant de failles non corrigées pour un accès persistant et le déploiement de ransomware
Table des matières :
L’Agence de cybersécurité et de sécurité des infrastructures (CISA) a émis une alerte concernant des acteurs de ransomware abusant de vulnérabilités non corrigées dans le logiciel de supervision et de gestion à distance (RMM) de SimpleHelp—une tactique de plus en plus utilisée pour compromettre les organisations depuis le début de 2025.
Avec plus de 21 000 nouvelles CVE déjà enregistrées par NIST cette année, les équipes de cybersécurité sont sous une pression croissante pour garder une longueur d’avance. L’exploitation des vulnérabilités reste le principal vecteur d’attaque, en particulier pour les groupes de ransomware . Un incident récent souligné par CISA illustre cette tendance : des attaquants ont exploité des failles (CVE-2024-57726, CVE-2024-57727, CVE-2024-57728) dans SimpleHelp RMM pour déployer le ransomware DragonForce et exfiltrer des données sensibles, utilisant des tactiques de double extorsion pour maximiser l’impact.
Détecter l’exploitation des vulnérabilités de SimpleHelp RMM pour la distribution de ransomware
Selon Sophos, le coût moyen de récupération après un ransomware a grimpé à 2,73 millions de dollars en 2024—une augmentation énorme de 500 % par rapport à l’année précédente. Avec des acteurs de ransomware exploitant fréquemment des vulnérabilités logicielles (prévues pour dépasser 49 000 d’ici la fin de 2025), cette forte hausse souligne l’impact financier croissant des cyberattaques et le besoin urgent de stratégies de défense proactive. Pour garder une longueur d’avance sur des menaces telles que celles exploitant les failles de SimpleHelp RMM, les défenseurs cybernétiques ont besoin de renseignements sur les menaces précis et fiables et de contenus de détection exploitables pour devancer les attaquants à chaque étape.
Inscrivez-vous à la plateforme SOC Prime pour accéder à une collection dédiée de règles Sigma traitant de l’exploitation des vulnérabilités de SimpleHelp RMM pour la distribution de ransomwares. Le contenu de détection, soigneusement sélectionné, est soutenu par une suite complète de produits pour l’ingénierie de détection alimentée par l’IA, la chasse aux menaces automatisée et la détection avancée des menaces. Cliquez simplement sur le bouton Explorer les détections ci-dessous et accédez immédiatement à une pile de contenu pertinente.
Les professionnels de la sécurité peuvent également explorer la collection plus large de règles de détection pour l’exploitation des vulnérabilités en recherchant avec le tag plus général «CVE» ou appliquer le tag «Ransomware» pour accéder à un ensemble de règles de détection couvrant les attaques de ransomware dans le monde entier.
Toutes les règles de la plateforme SOC Prime sont compatibles avec plusieurs solutions SIEM, EDR et Data Lake et mappées au cadre MITRE ATT&CK®. De plus, chaque règle est accompagnée de métadonnées détaillées, y compris références de renseignement sur les menaces , chronologies d’attaques, recommandations de triage, et plus encore.
En plus, les experts en sécurité peuvent rationaliser l’investigation des menaces en utilisant Uncoder AI – un IDE privé & copilote pour l’ingénierie de détection informée par les menaces. Générer des algorithmes de détection à partir de rapports de menaces bruts, permettre des balayages rapides d’IOC dans des requêtes optimisées pour la performance, prédire les tags ATT&CK, optimiser le code des requêtes avec des conseils d’IA, et le traduire dans plusieurs langues SIEM, EDR et Data Lake.
Exploitation du logiciel SimpleHelp : Ce qui se cache derrière l’attaque
Sophos a récemment enquêté sur une attaque ciblée impliquant un MSP, dans laquelle des adversaires ont compromis l’outil RMM de SimpleHelp du fournisseur à l’étape initiale de l’attaque. Les attaquants ont ensuite déployé le ransomware DragonForce sur plusieurs systèmes et volé des données sensibles, exécutant une stratégie de double extorsion pour faire pression sur les victimes afin qu’elles paient.
Sophos déclare que les attaquants ont exploité une chaîne de vulnérabilités, qui comprend CVE-2024-57727, plusieurs failles de traversée de chemin, CVE-2024-57728, une vulnérabilité de téléchargement de fichier arbitraire, et CVE-2024-57726, une faille d’élévation de privilèges.
DragonForce est une opération sophistiquée de RaaS (Ransomware as a Service) qui est apparue au milieu de l’année 2023. Selon les chercheurs, le groupe a commencé à se restructurer en mars 2025 en tant que « cartel », passant à un modèle d’affiliation distribué pour attirer une gamme plus large d’acteurs de la menace. Ce repositionnement a considérablement augmenté le profil du groupe. DragonForce a récemment revendiqué le contrôle sur l’infrastructure auparavant associée à RansomHub, et est maintenant utilisé, selon les rapports, par des mainteneurs de ransomware de haut niveau, y compris Scattered Spider (UNC3944). Ce groupe, précédemment associé à RansomHub, a été lié à des attaques sur les grandes chaînes de vente au détail à la fois au Royaume-Uni et aux États-Unis utilisant le payload de ransomware DragonForce.
Sophos a découvert la campagne après avoir détecté un programme d’installation SimpleHelp suspect, déployé via l’instance RMM légitime du MSP. Les attaquants ont accédé via le RMM ciblé pour recueillir des données à travers divers environnements clients. Un client MSP a pu bloquer le ransomware et le vol de données. Cependant, d’autres clients ont été impactés par le déploiement du ransomware et l’exfiltration de données.
Le 12 juin 2025, CISA a publié un avis en réponse à des acteurs de ransomware exploitant des vulnérabilités non corrigées dans le logiciel RMM de SimpleHelp pour pénétrer chez les clients d’un fournisseur de facturation de services publics. Les hackers de DragonForce ont probablement armé CVE-2024-57727 pour cibler des entités SimpleHelp RMM non corrigées afin de perturber les services et mener des attaques de double extorsion.
Les versions 5.5.7 de SimpleHelp et antérieures contiennent plusieurs failles de sécurité, y compris le CVE-2024-57727 mentionné ci-dessus. Notamment, CISA a ajouté CVE-2024-57727 à son catalogue KEV le 13 février 2025.
CISA recommande fortement d’appliquer rapidement les mesures d’atténuation contre les attaques potentielles de ransomware exploitant le logiciel SimpleHelp RMM en raison de compromissions confirmées ou de risques significatifs d’exploitation. Si SimpleHelp est intégré dans un logiciel fournisseur ou utilisé par un fournisseur tiers, les défenseurs recommandent d’identifier la version du serveur dans le fichier serverconfig.xml . Si la version 5.5.7 ou antérieure a été utilisée depuis janvier 2025, les fournisseurs devraient isoler ou éteindre le serveur SimpleHelp, mettre à jour rapidement vers la dernière version selon l’avis de sécurité de SimpleHelp, informer les clients en aval, et leur conseiller de sécuriser les points de terminaison et d’initier une chasse aux menaces. En outre, les mesures d’atténuation incluent le maintien d’un inventaire d’actifs à jour et la garantie de sauvegardes régulières des systèmes sur des dispositifs de stockage déconnectés et hors ligne, l’évaluation continue des risques associés aux logiciels RMM, et la vérification des contrôles de sécurité mis en œuvre par des fournisseurs tiers.
Les défenseurs ont jugé cette attaque ciblant les instances RMM de SimpleHelp particulièrement dangereuse en raison de son focus sur les fournisseurs de logiciels de facturation de services publics, qui agissent comme des liens critiques entre les opérateurs d’infrastructures et les utilisateurs finaux. L’utilisation de tactiques de double extorsion contre ces intermédiaires de haute valeur souligne la nature avancée de la campagne et le besoin pressant de mesures de cybersécurité proactives et multicouches. En se fiant à la suite complète de produits de SOC Prime soutenue par l’IA, l’automatisation, et le renseignement sur les menaces en temps réel, les organisations peuvent identifier de manière proactive toute menace sophistiquée et préempter les attaques dès leurs premiers stades.
