Criminelen achter de DragonForce-ransomware zijn erin geslaagd om klanten van een niet nader genoemde managed serviceprovider (MSP) met ransomware te infecteren. Daarbij werd gebruikgemaakt van bekende kwetsbaarheden in SimpleHelp waarvoor in januari van dit jaar updates verschenen, zo stelt antivirusbedrijf Sophos. SimpleHelp is remote access software waarmee bijvoorbeeld beheerders problemen bij eindgebruikers kunnen verhelpen.

MSP's gebruiken SimpleHelp om systemen van klanten op afstand te beheren. SimpleHelp bestaat uit een server waarop de beheerder inlogt en clientsoftware die op de endpoints draait. Door het compromitteren van de SimpleHelp-server van de managed serviceprovider kon er vervolgens ransomware op de systemen van klanten worden geplaatst. Ook werd er allerlei data gestolen, aldus Sophos.

De DragonForce-groep wordt verantwoordelijk gehouden voor de recente ransomware-aanvallen op de Britse ketens Marks & Spencer, Co-op en Harrods. Begin dit jaar waarschuwde securitybedrijf ArcticWolf ook voor actief misbruik van SimpleHelp-kwetsbaarheden.