Gangues de ransomware exploram vulnerabilidades não corrigidas no SimpleHelp para ataques de dupla extorsão
As ameaças cibernéticas seguem evoluindo em 2025, com destaque para uma nova onda de ataques envolvendo o uso de falhas não corrigidas na ferramenta de gerenciamento remoto SimpleHelp. A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) emitiu recentemente um alerta revelando que grupos de ransomware estão explorando vulnerabilidades conhecidas em versões antigas do SimpleHelp para comprometer organizações, em especial clientes de um provedor de software de cobrança de utilidades não identificado.
Segundo a CISA, esse tipo de ataque se intensificou desde janeiro de 2025, revelando uma tendência alarmante: a exploração de ferramentas legítimas de administração remota como vetor de ataque. O SimpleHelp, amplamente utilizado por empresas de suporte técnico e provedores de serviços gerenciados (MSPs), apresentou falhas graves que possibilitam vazamento de informações, escalonamento de privilégios e execução remota de código listadas como CVE-2024-57726, CVE-2024-57727 e CVE-2024-57728.
Grupos como o DragonForce já vêm utilizando essas vulnerabilidades para invadir sistemas e, a partir deles, mover-se lateralmente até outros alvos conectados. A empresa Sophos relatou recentemente que um MSP teve sua instância do SimpleHelp comprometida por um desses grupos, que posteriormente utilizou o acesso obtido para invadir clientes subsequentes, demonstrando o efeito cascata desse tipo de ataque.
A tática aplicada é a de dupla extorsão: os criminosos criptografam os dados e, antes disso, exfiltram informações sensíveis, ameaçando divulgá-las caso o resgate não seja pago. Versões 5.5.7 ou anteriores do SimpleHelp estão entre as mais afetadas, e a recomendação da CISA é clara: servidores expostos à internet devem ser imediatamente atualizados e isolados.
Recomendações da CISA para mitigação
A agência publicou uma série de ações que devem ser implementadas com urgência por empresas que utilizam o SimpleHelp, especialmente aquelas que prestam serviços a terceiros:
-
Identificação e isolamento de servidores SimpleHelp expostos à internet, com atualização para a versão mais recente.
-
Notificação de clientes e parceiros, com orientações para proteger seus próprios sistemas.
-
Caça a ameaças ativas, buscando indicadores de comprometimento e tráfego incomum no ambiente.
-
Desconexão imediata de sistemas comprometidos, reinstalação do sistema operacional e restauração a partir de backup limpo.
-
Manutenção de backups offline e periódicos, para garantir recuperação segura.
-
Bloqueio de serviços remotos expostos à internet, como RDP.
A CISA reforça ainda que não recomenda o pagamento de resgates, pois não há garantias de que os arquivos serão restaurados. Além disso, o pagamento pode incentivar novas ações criminosas e financiar atividades ilícitas.
Ransomware Fog: Novas estratégias e possível espionagem
Enquanto isso, pesquisadores da Symantec, empresa pertencente à Broadcom, relataram um ataque sofisticado do ransomware Fog, direcionado a uma instituição financeira na Ásia. Essa variante foi detectada pela primeira vez em maio de 2024 e se destaca pelo uso de ferramentas legítimas e táticas incomuns.
Assim como outros grupos, o Fog explora credenciais comprometidas de VPN e falhas em sistemas para ganhar acesso. A infecção, porém, pode começar com arquivos .LNK compactados em arquivos .ZIP, distribuídos por e-mail phishing. A execução do atalho aciona scripts PowerShell que baixam o carregador do ransomware.
Entre as técnicas avançadas utilizadas estão:
-
Execução de código diretamente na memória, dificultando a detecção;
-
Desativação de soluções de segurança;
-
Persistência no ambiente, com criação de serviços maliciosos dias após a criptografia;
-
Uso de software legítimo, como o Syteca (antigo Ekran), para monitoramento dos funcionários.
Além disso, ferramentas de pentest de código aberto como GC2, Adaptix e Stowaway foram empregadas, esta última, conhecida por ser usada por grupos chineses como o APT41. Arquivos foram compactados com programas como 7-Zip, FreeFileSync e MegaSync para facilitar a exfiltração.
Esse comportamento, incomum em campanhas puramente financeiras, levanta a suspeita de que o verdadeiro objetivo tenha sido espionagem, com o ransomware servindo como distração ou forma de monetização paralela.
LockBit: Vazamento revela alvo chinês e reestruturação da operação
Outro destaque recente foi o vazamento do painel administrativo do grupo LockBit, uma das maiores operações de ransomware como serviço (RaaS) do mundo. A análise do painel, feita pela empresa Trellix, revelou que o grupo movimentou cerca de US$ 2,3 milhões nos últimos seis meses e teve a China como um dos principais alvos, ao lado de países como Taiwan, Brasil e Turquia.
Grupos afiliados como Iofikdis, PiotrBond e JamesCraig foram identificados como responsáveis pelos ataques ao território chinês, um movimento inusitado, considerando que outros grupos RaaS, como Conti e Black Basta, costumam evitar alvos chineses para evitar repercussões políticas.
Após o vazamento, o LockBit ofereceu recompensa em dinheiro por informações sobre o autor da divulgação, conhecido apenas como “xoxo from Prague”. O incidente também coincidiu com a descontinuação repentina do grupo RansomHub, o que levou ex-afiliados como BaleyBeach e GuillaumeAtkinson a migrarem para o LockBit.
Atualmente, o grupo está trabalhando na versão 5.0 do seu ransomware, enquanto busca manter sua influência no ecossistema do cibercrime. Segundo o pesquisador Jambul Tologonov, “o vazamento mostra a realidade menos glamourosa e mais caótica dessas operações: embora lucrativas, estão longe de ser tão organizadas e infalíveis como aparentam.”
Conclusão
O cenário atual evidencia uma clara sofisticação das táticas de ransomware, com grupos utilizando falhas em softwares legítimos, ferramentas de segurança corporativa e estratégias avançadas para comprometer redes inteiras. A reutilização de ferramentas legítimas e o uso de ransomware como fachada para espionagem marcam uma nova era de ameaças cibernéticas.
Organizações que dependem de ferramentas como o SimpleHelp precisam urgentemente revisar sua postura de segurança, implementar políticas de atualização rigorosas, realizar monitoramento constante e treinar suas equipes para lidar com ameaças em constante evolução.
A negligência em aplicar correções de segurança pode custar não apenas dados valiosos, mas também a continuidade do negócio. Em 2025, a regra é clara: na cibersegurança, proatividade é sobrevivência.
Fonte e imagens: https://thehackernews.com/2025/06/ransomware-gangs-exploit-unpatched.html
