Detectar Exploração de Vulnerabilidade do SimpleHelp RMM: CISA Alerta sobre Atores de Ameaça Abusando de Falhas Não Corrigidas para Acesso Persistente e Implantação de Ransomware
Índice:
A Agência de Segurança Cibernética e de Infraestrutura (CISA) emitiu um alerta notificando sobre atores de ransomware explorando vulnerabilidades não corrigidas no software de Monitoramento e Gerenciamento Remoto (RMM) da SimpleHelp — uma tática cada vez mais usada para comprometer organizações desde o início de 2025.
Com mais de 21.000 novas CVEs já registradas pelo NIST este ano, as equipes de segurança cibernética estão sob pressão crescente para se manterem à frente. A exploração de vulnerabilidades continua sendo o principal vetor de ataque, particularmente para grupos de ransomware. Um incidente recente destacado pela CISA ressalta essa tendência: atacantes se aproveitaram de falhas (CVE-2024-57726, CVE-2024-57727, CVE-2024-57728) no RMM da SimpleHelp para implantar o ransomware DragonForce e exfiltrar dados sensíveis, utilizando táticas de dupla extorsão para maximizar o impacto.
Detectar a Exploração de Vulnerabilidades do SimpleHelp RMM para Distribuição de Ransomware
De acordo com a Sophos, o custo médio de recuperação de ransomware subiu para US$ 2,73 milhões em 2024 — um aumento de 500% em relação ao ano anterior. Com os atores de ransomware explorando frequentemente vulnerabilidades de software (previsto para exceder 49.000 até o final de 2025), este aumento acentuado ressalta o crescente impacto financeiro dos ataques cibernéticos e a necessidade urgente de estratégias de defesa proativas. Para se manter à frente de ameaças como aquelas que exploram falhas do RMM da SimpleHelp, os defensores cibernéticos precisam de inteligência de ameaças pontual e confiável e conteúdo de detecção acionável para superar os atacantes em cada etapa.
Registre-se na Plataforma SOC Prime para acessar uma coleção dedicada de regras Sigma abordando a exploração de vulnerabilidades do SimpleHelp RMM para distribuição de ransomware. O conteúdo de detecção organizado é apoiado por um conjunto completo de produtos para engenharia de detecção com IA, caça automatizada de ameaças e detecção avançada de ameaças. Basta clicar no Explorar Detecções botão abaixo e aprofundar-se imediatamente em um conjunto de conteúdo relevante.
Os profissionais de segurança também podem explorar a coleção mais ampla de regras de detecção para exploração de vulnerabilidades buscando com a tag mais ampla “CVE”, ou aplicar a tag “Ransomware” para acessar um conjunto de regras de detecção que cobrem ataques de ransomware em todo o mundo.
Todas as regras na Plataforma SOC Prime são compatíveis com múltiplas soluções SIEM, EDR e Data Lake e mapeadas para o MITRE ATT&CK® framework. Além disso, cada regra é embalada com metadados detalhados, incluindo referências de inteligência de ameaças, cronogramas de ataques, recomendações de triagem e mais. references, attack timelines, triage recommendations, and more.
Além disso, os especialistas em segurança podem agilizar a investigação de ameaças usando Uncoder AI – uma IDE privada e co-piloto para engenharia de detecção informada por ameaças. Gere algoritmos de detecção a partir de relatórios de ameaças brutos, habilite verificações rápidas de IOC em consultas otimizadas para desempenho, prediga tags do ATT&CK, otimize o código de consulta com dicas de IA e traduza-o por diversos idiomas SIEM, EDR e Data Lake.
Explorando o Software SimpleHelp: O que Está por Trás do Ataque
A Sophos investigou recentemente um ataque direcionado envolvendo um MSP, no qual adversários comprometeram a ferramenta RMM SimpleHelp do provedor na fase inicial do ataque. Os atacantes implantaram ainda o ransomware DragonForce por vários sistemas e roubaram dados sensíveis, executando uma estratégia de dupla extorsão para pressionar as vítimas a pagar.
A Sophos afirma que os atacantes exploraram uma sequência de vulnerabilidades, que inclui CVE-2024-57727, múltiplas falhas de travessia de caminho, CVE-2024-57728, uma vulnerabilidade de upload de arquivos arbitrários, e CVE-2024-57726, uma falha de escalonamento de privilégios.
DragonForce é uma operação sofisticada de RaaS que surgiu em meados de 2023. Segundo os pesquisadores, o grupo começou a se rebrandear em março de 2025 como um “cartel”, mudando para um modelo de afiliados distribuído para atrair uma gama mais ampla de atores da ameaça. Esta reposicionamento aumentou significativamente o perfil do grupo. DragonForce recentemente afirmou controle sobre a infraestrutura anteriormente associada ao RansomHub, e agora está sendo usado por mantenedores de ransomware de alto perfil, incluindo Scattered Spider (UNC3944). Este grupo, anteriormente associado ao RansomHub, foi vinculado a ataques a grandes redes de varejo tanto no Reino Unido quanto nos EUA usando a carga útil do ransomware DragonForce.
A Sophos descobriu a campanha após detectar um instalador SimpleHelp suspeito, implantado via a instância legítima de RMM do MSP. Os atacantes ganharam acesso através do RMM direcionado para coletar dados em diversos ambientes de clientes. Um cliente do MSP foi capaz de bloquear o ransomware e o roubo de dados. No entanto, outros clientes foram impactados tanto pela implantação de ransomware quanto pela exfiltração de dados.
Em 12 de junho de 2025, a CISA emitiu um aviso em resposta a atores de ransomware explorando vulnerabilidades não corrigidas no software SimpleHelp RMM para violar os clientes de um provedor de cobrança de utilidades. Os hackers DragonForce provavelmente armaram o CVE-2024-57727 para atingir entidades não corrigidas do SimpleHelp RMM para interrupção de serviços e ataques de dupla extorsão.
As versões SimpleHelp 5.5.7 e anteriores contêm várias falhas de segurança, incluindo o já mencionado CVE-2024-57727. Notavelmente, a CISA adicionou o CVE-2024-57727 ao seu Catálogo KEV em 13 de fevereiro de 2025.
A CISA recomenda fortemente a aplicação imediata de medidas de mitigação contra potenciais ataques de ransomware que utilizam o software SimpleHelp RMM devido a comprometimentos confirmados ou risco significativo de exploração. Se o SimpleHelp estiver embutido em software de fornecedores ou utilizado por um provedor terceiro, os defensores recomendam identificar a versão do servidor no arquivo serverconfig.xml arquivo. Se a versão 5.5.7 ou anterior foi utilizada desde janeiro de 2025, os fornecedores devem isolar ou desligar o servidor SimpleHelp, atualizar prontamente para a versão mais recente conforme a advertência de segurança do SimpleHelp, notificar clientes descendentes e aconselhá-los a proteger endpoints e iniciar a caça às ameaças. Além disso, as medidas de mitigação incluem manter um inventário de ativos atualizado e garantir backups regulares do sistema para dispositivos de armazenamento desconectados, avaliar continuamente os riscos associados ao software RMM e verificar os controles de segurança implementados por provedores terceiros.
Os defensores consideraram este ataque direcionado a instâncias do SimpleHelp RMM especialmente perigoso devido ao seu foco em provedores de software de faturamento de utilidades, que atuam como links críticos entre operadores de infraestrutura e usuários finais. O uso de táticas de dupla extorsão contra esses intermediários de alto valor destaca a natureza avançada da campanha e a necessidade urgente de medidas de segurança cibernética proativas e em camadas múltiplas. Ao confiar no conjunto completo de produtos SOC Prime apoiado por IA, automação e inteligência de ameaças ao vivo, as organizações podem identificar proativamente quaisquer ameaças sofisticadas e antecipar ataques em seus estágios iniciais.
