Rilevare lo sfruttamento delle vulnerabilità di SimpleHelp RMM: CISA avverte degli attori delle minacce che sfruttano falle non patchate per accesso persistente e distribuzione di ransomware
Indice:
L’Agenzia per la Sicurezza delle Infrastrutture e della Cyber-sicurezza (CISA) ha emesso un avviso segnalando attori ransomware che sfruttano vulnerabilità non corrette nel software di Monitoraggio e Gestione Remota (RMM) di SimpleHelp—una tattica sempre più utilizzata per compromettere le organizzazioni dall’inizio del 2025.
Con oltre 21.000 nuove CVE già registrate dal NIST quest’anno, i team di cybersecurity sono sotto crescente pressione per restare al passo. Lo sfruttamento delle vulnerabilità rimane il principale vettore d’attacco, in particolare per i gruppi ransomware. Un recente incidente evidenziato dalla CISA sottolinea questa tendenza: gli attaccanti hanno sfruttato le falle (CVE-2024-57726, CVE-2024-57727, CVE-2024-57728) nel RMM di SimpleHelp per distribuire il ransomware DragonForce ed esfiltrare dati sensibili, utilizzando tattiche di doppia estorsione per massimizzare l’impatto.
Rilevare lo Sfruttamento delle Vulnerabilità di SimpleHelp RMM per la Distribuzione di Ransomware
Secondo Sophos, il costo medio di recupero da ransomware è salito a 2,73 milioni di dollari nel 2024—un enorme incremento del 500% rispetto all’anno precedente. Con gli attori di ransomware che frequentemente sfruttano le vulnerabilità software (previste superare le 49.000 entro la fine del 2025), questo netto aumento sottolinea l’impatto finanziario crescente degli attacchi informatici e la necessità urgente di strategie di difesa proattiva. Per rimanere al passo con minacce come quelle che sfruttano le falle di SimpleHelp RMM, i difensori cibernetici necessitano di intelligence tempestiva e affidabile sulle minacce e di contenuti di rilevamento attuabili per superare gli attaccanti a ogni passo.
Registrati sulla piattaforma SOC Prime per accedere a una raccolta dedicata di regole Sigma che affrontano lo sfruttamento delle vulnerabilità di SimpleHelp RMM per la distribuzione di ransomware. I contenuti di rilevamento curati sono supportati da una suite completa di prodotti per l’ingegneria del rilevamento potenziata dall’IA, la caccia automatizzata alle minacce e il rilevamento avanzato delle minacce. Basta premere il pulsante Esplora Rilevamenti qui sotto e approfondire immediatamente un set di contenuti rilevanti.
I professionisti della sicurezza possono anche esplorare la raccolta più ampia di regole di rilevamento per lo sfruttamento delle vulnerabilità cercando con il tag più ampio “CVE” o possono applicare il tag “Ransomware” per accedere a un set di regole di rilevamento che coprono attacchi ransomware in tutto il mondo.
Tutte le regole nella Piattaforma SOC Prime sono compatibili con molteplici soluzioni SIEM, EDR e Data Lake e mappate al framework MITRE ATT&CK®. Inoltre, ogni regola è arricchita con metadati dettagliati, tra cui riferimenti di intel sulle minacce, cronologie degli attacchi, raccomandazioni per il triage, e altro. Inoltre, gli esperti di sicurezza potrebbero ottimizzare l’investigazione delle minacce usando
– un’IDE privata e co-pilota per l’ingegneria del rilevamento informata dalle minacce. Genera algoritmi di rilevamento dai rapporti di minaccia grezzi, abilita sweep IOC veloci in query ottimizzate per le prestazioni, prevede tag ATT&CK, ottimizza il codice delle query con suggerimenti dell’IA, e lo traduce in più linguaggi SIEM, EDR e Data Lake. – un’IDE privata e co-pilota per l’ingegneria del rilevamento informata dalle minacce. Genera algoritmi di rilevamento dai rapporti di minaccia grezzi, abilita sweep IOC veloci in query ottimizzate per le prestazioni, prevede tag ATT&CK, ottimizza il codice delle query con suggerimenti dell’IA, e lo traduce in più linguaggi SIEM, EDR e Data Lake. ha recentemente indagato su un attacco mirato che coinvolge un MSP, in cui gli avversari hanno compromesso lo strumento RMM di SimpleHelp del provider nella fase iniziale dell’attacco. Gli attaccanti hanno ulteriormente distribuito il ransomware DragonForce su più sistemi e rubato dati sensibili, eseguendo una strategia di doppia estorsione per fare pressione sulle vittime affinché pagassero.
Sfruttamento del Software SimpleHelp: Cosa c’è dietro l’Attacco
ha recentemente indagato su un attacco mirato che coinvolge un MSP, in cui gli avversari hanno compromesso lo strumento RMM di SimpleHelp del provider nella fase iniziale dell’attacco. Gli attaccanti hanno ulteriormente distribuito il ransomware DragonForce su più sistemi e rubato dati sensibili, eseguendo una strategia di doppia estorsione per fare pressione sulle vittime affinché pagassero. Sophos dichiara che gli attaccanti hanno sfruttato una catena di vulnerabilità, che include
, molteplici falle di traversamento di percorso, , molteplici falle di traversamento di percorso,, una vulnerabilità di caricamento di file arbitrari, e , una vulnerabilità di caricamento di file arbitrari, e, una falla di escalation dei privilegi. , una falla di escalation dei privilegi.DragonForce è un’operazione sofisticata di tipo
emersa a metà 2023. Secondo i ricercatori, il gruppo ha iniziato a rinnovare il brand nel marzo 2025 come un “cartello”, passando a un modello di affiliazione distribuito per attrarre una gamma più ampia di attori delle minacce. Questo riposizionamento ha significativamente alzato il profilo del gruppo. DragonForce ha recentemente affermato il controllo su infrastrutture precedentemente associate a emersa a metà 2023. Secondo i ricercatori, il gruppo ha iniziato a rinnovare il brand nel marzo 2025 come un “cartello”, passando a un modello di affiliazione distribuito per attrarre una gamma più ampia di attori delle minacce. Questo riposizionamento ha significativamente alzato il profilo del gruppo. DragonForce ha recentemente affermato il controllo su infrastrutture precedentemente associate a , e ora si dice che sia usato da mantenitori di ransomware di alto profilo, tra cui Scattered Spider (UNC3944). Questo gruppo, precedentemente associato con RansomHub, è stato collegato ad attacchi su grandi catene di vendita al dettaglio sia nel Regno Unito che negli Stati Uniti usando il payload DragonForce ransomware. , e ora si dice che sia usato da mantenitori di ransomware di alto profilo, tra cui Scattered Spider (UNC3944). Questo gruppo, precedentemente associato con RansomHub, è stato collegato ad attacchi su grandi catene di vendita al dettaglio sia nel Regno Unito che negli Stati Uniti usando il payload DragonForce ransomware.Sophos ha scoperto la campagna dopo aver rilevato un installer SimpleHelp sospetto, distribuito tramite l’istanza RMM legittima dell’MSP. Gli attaccanti hanno ottenuto l’accesso tramite l’RMM mirato per raccogliere dati attraverso vari ambienti dei clienti. Un cliente MSP è riuscito a bloccare il ransomware e il furto di dati. Tuttavia, altri clienti sono stati colpiti sia dalla distribuzione del ransomware che dall’esfiltrazione di dati.
Il 12 giugno 2025,
CISA ha emesso un avviso in risposta ad attori ransomware che sfruttano vulnerabilità non corrette nel software SimpleHelp RMM per violare i clienti di un fornitore di fatturazione delle utility. Gli hacker di DragonForce hanno probabilmente usato CVE-2024-57727 per mirare a entità SimpleHelp RMM non corrette per la distruzione dei servizi e attacchi di doppia estorsione. Le versioni di SimpleHelp 5.5.7 e precedenti contengono molteplici falle di sicurezza, inclusa la sopra menzionata CVE-2024-57727. Notoriamente, la CISA ha aggiunto CVE-2024-57727 al suo Catalogo KEV il 13 febbraio 2025.
CISA raccomanda fortemente di applicare tempestivamente le misure di mitigazione contro potenziali attacchi ransomware che sfruttano il software SimpleHelp RMM a causa di compromessi confermati o rischio significativo di sfruttamento. Se SimpleHelp è incorporato nel software del fornitore o utilizzato da un fornitore terzo, i difensori raccomandano di identificare la versione del server nel file
. Se è stata utilizzata la versione 5.5.7 o una precedente dal gennaio 2025, i fornitori dovrebbero isolare o spegnere il server SimpleHelp, aggiornare prontamente all’ultima versione secondo . Se è stata utilizzata la versione 5.5.7 o una precedente dal gennaio 2025, i fornitori dovrebbero isolare o spegnere il server SimpleHelp, aggiornare prontamente all’ultima versione secondo l’avviso di sicurezza di SimpleHelp , notificare i clienti a valle, e consigliare loro di mettere in sicurezza gli endpoint e iniziare la caccia alle minacce. Inoltre, le misure di mitigazione includono il mantenimento di un inventario aggiornato delle risorse e la garanzia di backup regolari del sistema su dispositivi di archiviazione offline e disconnessi, valutazione continua dei rischi associati al software RMM, e verifica dei controlli di sicurezza implementati dai fornitori terzi.I difensori hanno giudicato questo attacco mirato alle istanze di SimpleHelp RMM particolarmente pericoloso a causa della sua concentrazione sui fornitori di software di fatturazione delle utility, che agiscono come collegamenti critici tra gli operatori delle infrastrutture e gli utenti finali. L’uso di tattiche di doppia estorsione contro questi intermediari di alto valore evidenzia la natura avanzata della campagna e la necessità pressante di misure di cyber-sicurezza multilivello e proattive. Affidandosi alla
suite completa di prodotti di SOC Prime supportati da AI, automazione, e intel sulle minacce in tempo reale, le organizzazioni possono identificare proattivamente qualsiasi minaccia sofisticata e prevenire gli attacchi nelle loro fasi iniziali. backed by AI, automation, and live threat intel, organizations can proactively identify any sophisticated threats and preempt attacks at their earliest stages.
