Sophos lanza un llamado urgente a los canales y proveedores de tecnologÃa en México. ¿La razón? El grupo cibercriminal DragonForce acaba de demostrar lo vulnerable que pueden ser los proveedores de servicios administrados (MSP), usando un ataque masivo a través de fallas en la herramienta SimpleHelp.
DragonForce, un grupo de ransomware cada vez más agresivo, aprovechó vulnerabilidades crÃticas descubiertas en enero de este año en SimpleHelp. Asà logró meterse a la infraestructura de un MSP, usando la herramienta que normalmente se usa para dar soporte y monitorear redes. Una vez dentro, lanzaron su ransomware y robaron datos de varios clientes, usando la táctica de “doble extorsiónâ€: cifran la información y amenazan con publicarla si no pagan.
Esto deja claro que los MSP y canales no son solo intermediarios. Son el corazón de la seguridad de sus clientes. Un ataque a ellos, es un ataque a toda la cadena.
En este ataque, uno de los clientes del MSP tenÃa protección avanzada con Sophos MDR y Sophos XDR. Gracias a la detección de actividades sospechosas y la respuesta inmediata de Sophos, lograron detener el ataque antes de que se concretara. Pero los clientes que no tenÃan estos servicios sufrieron el golpe completo: archivos cifrados y datos robados.
DragonForce: de rivalidades internas a atacar directamente a los MSP
DragonForce no es cualquier banda. Es un grupo que se está consolidando como un “cartel†digital, en guerra con otros grupos criminales como RansomHub. Pero ahora su estrategia es ir más allá y atacar a quienes deberÃan ser los más preparados: los proveedores de tecnologÃa y servicios.
“DragonForce no es solo otra banda de ransomware; es una fuerza desestabilizadora que intenta redibujar las reglas del juego cibercriminalâ€, advierte Aiden Sinnott, investigador senior de la Unidad de Amenazas de Sophos.
Además, DragonForce ya ha colaborado con afiliados peligrosos como GOLD HARVEST (también conocido como Scattered Spider), atacando a cadenas minoristas en Reino Unido y Estados Unidos. Esto demuestra que están creciendo y buscando cómo llegar a más vÃctimas.
¿Qué deben hacer los MSP y canales en México?
Sophos recomienda a los canales y MSP en México tomar medidas inmediatas para blindar sus servicios:
- Usar herramientas que aÃslen el navegador y gestores de contraseñas para evitar que los atacantes puedan robar contraseñas guardadas.
- Contar con soluciones que detecten actividad sospechosa de programas que roban datos (infostealers), como robo de contraseñas o cookies.
- Utilizar servicios que vigilen de manera continua si las credenciales de los empleados o clientes aparecen en la dark web o fuentes de inteligencia sobre amenazas.
- Tener reglas claras y estrictas para verificar la identidad de cualquier persona que pida soporte o acceso a sistemas.
- Establecer procedimientos para que el personal sepa cómo manejar solicitudes inusuales o urgentes, y no caigan en engaños sin antes verificar.
- Realizar ejercicios y simulacros para que los equipos practiquen cómo reaccionar ante ataques de ingenierÃa social o amenazas internas.
