Đối với quyền truy cập ban đầu, Sophos nhận định rằng kẻ điều hành mã độc tống tiền DragonForce đã liên kết với ba lỗ hổng trong phần mềm giám sát và quản lý từ xa (RMM).

Các lỗ hổng được theo dõi là CVE-2024-57727, CVE-2024-57728 và CVE-2024-57726, cho phép tin tặc truy xuất tệp nhật ký, tệp cấu hình và thông tin xác thực. Ngoài ra, các tác nhân đe dọa có thể đăng nhập hệ thống để tải tệp lên và thực thi mã, đặc biệt leo thang đặc quyền của chúng lên quản trị viên, dẫn đến xâm phạm hoàn toàn hệ thống mục tiêu.

SimpleHelp đã phát hành bản sửa lỗi cho ba lỗ hổng phần mềm vào giữa tháng 01/2025, tuy nhân kẻ tấn công đã kết hợp chúng trong các cuộc tấn công hai tuần sau đó để tấn công các phiên bản SimpleHelp chưa được vá trên Internet.

Hiện tại, Sophos cho biết ba lỗ hổng bảo mật này có khả năng liên quan đến việc truy cập vào triển khai SimpleHelp của MSP (giấu tiên) mà MSP này đang lưu trữ và vận hành cho khách hàng của mình. Sophos cho biết, những kẻ tấn công đã sử dụng RMM để thu thập thông tin về khách hàng của MSP, thu thập họ tên và cấu hình thiết bị, người dùng cũng như kết nối mạng.

Các tin tặc cũng đánh cắp thông tin nhạy cảm và triển khai mã độc tống tiền DragonForce, gây ảnh hưởng đến cả MSP và khách hàng của họ. Nhóm tin tặc mã độc tống tiền DragonForce đã thu hút được nhiều sự chú ý trong tháng qua, sau khi tuyên bố tấn công vào các nhà bán lẻ tại Anh như Marks & Spencer (M&S), Co-op, Harrods và sau khi Google cảnh báo rằng nhóm này đang chuyển hướng mục tiêu sang các nhà bán lẻ tại Hoa Kỳ.

Được biết đến từ giữa năm 2023 và hoạt động như một dịch vụ ransomware-as-a-service (RaaS), DragonForce đã tiếp quản cơ sở hạ tầng của RansomHub. Một tác nhân đe dọa được gọi là Scattered Spider và UNC3944, là chi nhánh của RansomHub, đã sử dụng DragonForce trong các cuộc tấn công gần đây.