In der zunehmend vernetzten Welt der IT-Infrastruktur stellen Managed Service Provider (MSPs) eine zentrale Rolle für die Sicherheit und Verwaltung von Kundennetzwerken dar. Durch den Einsatz von Remote-Monitoring- und Management-Tools (RMM) wie SimpleHelp können MSPs ihre Kunden effektiv und effizient betreuen. Doch genau diese Tools können zur Achillesferse werden, wie der jüngste Angriff der DragonForce-Ransomware-Gruppe eindrücklich zeigt. Die Angreifer nutzten gleich mehrere Sicherheitslücken in SimpleHelp aus, um sich Zugang zu Netzwerken zu verschaffen, Daten zu exfiltrieren und letztlich Ransomware auf zahlreichen Endpunkten auszurollen. Dies offenbart die Gefahr von Supply-Chain-Angriffen und wie kriminelle Gruppen hochentwickelte Techniken einsetzen, um maximale Schäden anzurichten.
Die betroffenen Sicherheitslücken, mit den CVE-Nummern CVE-2024-57727, CVE-2024-57728 sowie CVE-2024-57726, wurden erst Anfang 2025 öffentlich bekannt gemacht, was verdeutlicht, wie schnell solche Schwachstellen von Cyberkriminellen exploitiert werden können. DragonForce gelang es dabei, über die kompromittierte SimpleHelp-Instanz die Kontrolle über das RMM-Tool eines MSPs zu erlangen, was den Angreifern ermöglichte, eine Vielzahl von Endpunkten bei verschiedenen Kunden zu infizieren. Neben der Verbreitung von Ransomware sammelten die Angreifer Informationen über die jeweiligen Umgebungen der betroffenen Unternehmen – darunter Gerätekonfigurationen, Nutzerdaten sowie Netzwerkverbindungen. Diese Informationen erleichtern nicht nur die Ausweitung der Angriffe innerhalb der Zielnetzwerke, sondern ermöglichen auch gezielte Erpressungsversuche, bekannt als Double-Extortion. Dabei wird nicht nur die Verschlüsselung der Daten durch die Ransomware genutzt, sondern auch die Drohung, sensible Informationen zu veröffentlichen oder zu verkaufen.
Diese Form der Erpressung erhöht den Druck auf die Opfer erheblich und trägt dazu bei, dass Opfer eher bereit sind, Lösegeld zu zahlen. Interessant ist auch die Art und Weise, wie DragonForce als Ransomware-Cartel agiert. Indem sie ein Affiliate-Modell nutzen, können sie anderen Cyberkriminalitätsakteuren ermöglichen, unter verschiedenen Markennamen eigene Versionen der Ransomware-Locker zu betreiben. Diese dezentrale Struktur macht es für Strafverfolgungsbehörden schwieriger, die Gruppen zu zerschlagen, und sorgt für dynamische Entwicklungen in der Bedrohungslandschaft. Die Verknüpfung von DragonForce mit anderen Akteuren wie Scattered Spider, einer Identitäts-fokussierten Gruppe, die als Zugangsbroker agiert, zeigt die Komplexität moderner Cyberkriminalitätsnetzwerke.
Während DragonForce die Erpressungs- und Datendiebstahlphasen durchführt, wird Scattered Spider verdächtigt, den Zugang zu initialisieren und so den gesamten Angriff erst ermöglicht zu haben. Solche Kooperationen verdeutlichen, wie differenziert und spezialisiert Bedrohungsakteure heute operieren. Die jüngsten Angriffe von DragonForce auf den britischen Einzelhandelssektor rufen zusätzliche Alarmglocken hervor, da betroffene Unternehmen teilweise gezwungen waren, Teile ihrer IT-Systeme herunterzufahren, um die Sicherheitsvorfälle zu bewältigen. Diese Störungen haben nicht nur unmittelbare wirtschaftliche Folgen, sondern schaden auch dem Ansehen der betroffenen Unternehmen und untergraben das Vertrauen der Kunden. Die Geschichte von DragonForce ist eng mit der Entwicklung anderer sogenannter Ransomware-Gruppen verbunden.
Nach dem Zusammenbruch von prominenten Playern wie LockBit und BlackCat hat DragonForce eine aggressive Expansion gestartet und sich als neuer dominanter Akteur im Ransomware-Ökosystem etabliert. Gleichzeitig kam es zu Auseinandersetzungen mit Gruppen wie RansomHub, was man als digitale „Territorialkämpfe“ innerhalb der Cybercrime-Welt bezeichnen kann. LockBit, ehemals der weltweit größte Ransomware-Anbieter, erlitt im Rahmen der internationalen Aktion „Operation Cronos“ schwere Rückschläge. Zudem wurden Dark-Web-Affiliate-Panels infiltriert und mit Datenlecks kompromittiert. Solche Ereignisse beeinflussen maßgeblich die Dynamik unter Cyberkriminellen und spornen neue Akteure wie DragonForce an, die entstandenen Machtvakuums zu füllen.
Neben bekannten Techniken wie Phishing und Exploits ist bemerkenswert, dass Ransomware-Gruppen verstärkt auf Social-Engineering-Methoden wie Vishing und E-Mail-Bombardements setzen. Dabei ahmen Angreifer vertrauenswürdige Einrichtungen oder Supportmitarbeiter nach, um Nutzer zu täuschen und sich Zugriff über Werkzeuge wie Microsoft Quick Assist zu verschaffen. Anschließend installieren sie getarnte Backdoors wie QDoor, die eine unbemerkte und dauerhafte Präsenz im Netzwerk ermöglichen. Diese Techniken sind besonders gefährlich, da sie traditionelle Sicherheitssysteme oft umgehen, da der Zugriff scheinbar legitim erscheint. Sophos berichtete, dass die DragonForce-Angreifer neun Tage lang unentdeckt im Netzwerk verweilten, bevor sie versuchten, die Ransomware zu starten.
Dieser sogenannte „Dwell-Time“ ist kritisch, da in dieser Phase bereits Daten exfiltriert werden können und die Vorbereitung für spätere Angriffe stattfindet. Gegenmaßnahmen gegen derartige Angriffe sollten daher nicht nur auf automatisierte Abwehrsysteme setzen, sondern vor allem die Sensibilisierung von Mitarbeitern fördern. Durch Schulungen zu Sicherheitsbewusstsein und klar geregelte Richtlinien für Remote-Zugriffe lässt sich das Risiko reduzieren, dass Schadakteure über menschliche Schwachstellen Zugang erhalten. Firmen sollten zudem Remotezugriffe strikt kontrollieren und nur auf ausgewiesenen Systemen erlauben. Die Ausführung von virtuellen Maschinen und Remote-Desktop-Software sollte auf Endgeräten ohne Notwendigkeit blockiert werden, um mögliche Trittbrettfahrten zu verhindern.
