Sophos lanza un llamado urgente a los canales y proveedores de tecnología en México. ¿La razón? El grupo cibercriminal DragonForce acaba de demostrar lo vulnerable que pueden ser los proveedores de servicios administrados (MSP), usando un ataque masivo a través de fallas en la herramienta SimpleHelp.
DragonForce, un grupo de ransomware cada vez más agresivo, aprovechó vulnerabilidades críticas descubiertas en enero de este año en SimpleHelp. Así logró meterse a la infraestructura de un MSP, usando la herramienta que normalmente se usa para dar soporte y monitorear redes. Una vez dentro, lanzaron su ransomware y robaron datos de varios clientes, usando la táctica de “doble extorsión”: cifran la información y amenazan con publicarla si no pagan.
Esto deja claro que los MSP y canales no son solo intermediarios. Son el corazón de la seguridad de sus clientes. Un ataque a ellos, es un ataque a toda la cadena.
En este ataque, uno de los clientes del MSP tenía protección avanzada con Sophos MDR y Sophos XDR. Gracias a la detección de actividades sospechosas y la respuesta inmediata de Sophos, lograron detener el ataque antes de que se concretara. Pero los clientes que no tenían estos servicios sufrieron el golpe completo: archivos cifrados y datos robados.
DragonForce: de rivalidades internas a atacar directamente a los MSP
DragonForce no es cualquier banda. Es un grupo que se está consolidando como un “cartel” digital, en guerra con otros grupos criminales como RansomHub. Pero ahora su estrategia es ir más allá y atacar a quienes deberían ser los más preparados: los proveedores de tecnología y servicios.
“DragonForce no es solo otra banda de ransomware; es una fuerza desestabilizadora que intenta redibujar las reglas del juego cibercriminal”, advierte Aiden Sinnott, investigador senior de la Unidad de Amenazas de Sophos.
Además, DragonForce ya ha colaborado con afiliados peligrosos como GOLD HARVEST (también conocido como Scattered Spider), atacando a cadenas minoristas en Reino Unido y Estados Unidos. Esto demuestra que están creciendo y buscando cómo llegar a más víctimas.
¿Qué deben hacer los MSP y canales en México?
Sophos recomienda a los canales y MSP en México tomar medidas inmediatas para blindar sus servicios:
- Usar herramientas que aíslen el navegador y gestores de contraseñas para evitar que los atacantes puedan robar contraseñas guardadas.
- Contar con soluciones que detecten actividad sospechosa de programas que roban datos (infostealers), como robo de contraseñas o cookies.
- Utilizar servicios que vigilen de manera continua si las credenciales de los empleados o clientes aparecen en la dark web o fuentes de inteligencia sobre amenazas.
- Tener reglas claras y estrictas para verificar la identidad de cualquier persona que pida soporte o acceso a sistemas.
- Establecer procedimientos para que el personal sepa cómo manejar solicitudes inusuales o urgentes, y no caigan en engaños sin antes verificar.
- Realizar ejercicios y simulacros para que los equipos practiquen cómo reaccionar ante ataques de ingeniería social o amenazas internas.
