El Servicio Secreto de EE. UU. Informa un aumento en los proveedores de servicios administrados (MSP) pirateados


Servicio Secreto de los Estados Unidos

El Servicio Secreto de los Estados Unidos envió una alerta de seguridad el mes pasado al sector privado de los EE. UU. Y a las organizaciones gubernamentales advirtiendo sobre un aumento en los ataques de proveedores de servicios administrados (MSP).

Los MSP proporcionan software de gestión remota para empresas. Los MSP pueden ser servicios simples como sistemas de intercambio de archivos para completar soluciones que administran la flota de computadoras de un cliente.

La mayoría de los servicios de MSP se basan en una arquitectura de software program servidor-cliente. La parte del servidor se puede alojar de forma remota con el MSP dentro de una infraestructura en la nube, o instalarse en las instalaciones con el cliente. Por lo general, obtener acceso al componente del servidor de un MSP le otorga al atacante el control whole de todos los clientes de software program.

Alerta del Servicio Secreto enviada el mes pasado

En una alerta de seguridad enviada el 12 de junio, los funcionarios del Servicio Secreto dijeron que su equipo de investigaciones (GIOC – Centro de Operaciones de Investigaciones Globales) ha visto un aumento en los incidentes en los que los piratas informáticos violan las soluciones de MSP y las usan como trampolín hacia las redes internas de la pink. Clientes de MSP.

Funcionarios del Servicio Secreto dijeron que han visto a actores de amenazas usar MSPs pirateados para llevar a cabo ataques contra sistemas de puntos de venta, realizar estafas de compromiso de correo electrónico comercial (BEC) y desplegar ransomware.

La alerta, que ZDNet obtuvo una copia aquí, contiene las mejores prácticas para ser implementadas por los MSP y sus respectivos clientes.

Decenas de ataques de MSP en 2019

Los ataques contra los MSP han aparecido recientemente en los titulares, con un aumento en los ataques en 2019, cuando las pandillas de ransomware como GandCrab o REvil (Sodinokibi) comenzaron a atacar a los MSP y luego infectar a sus clientes.

En un informe publicado en octubre de 2019, la empresa de inteligencia de amenazas Armor dijo que identificó al menos 13 MSP que fueron pirateados en 2019 y que se abusó de su infraestructura para implementar ransomware en las redes de sus clientes.

En una llamada telefónica hoy con ZDNet, Kyle Hanslovan, CEO en Laboratorios Cazadora, dijo que su compañía brindó apoyo en al menos 63 incidentes de los hacks de MSP en 2019 que resultaron en ransomware en redes de clientes Sin embargo, Hanslovan sospecha que el número de incidentes totales superó los 100 el año pasado.

ConnectWise, uno de los proveedores de MSP más grandes del mercado, ha tenido sus productos y servicios a menudo dirigidos por piratas informáticos. En noviembre de 2019, ConnectWise envió una alerta interna a sus clientes sobre las pandillas de ransomware que explotan instalaciones mal configuradas de su producto ConnectWise Automate in situ para violar las redes de los clientes y desplegar cargas de cifrado de archivos.

En junio de 2020 ConnectWise parcheó una vulnerabilidad de Automatizar API que los hackers también habían usado para violar empresas e implementar ransomware. Se le ha dicho a ZDNet que esta vulnerabilidad y la posterior explotación es lo que llevó al Servicio Secreto a enviar su alerta.

La alerta del Servicio Secreto es en realidad la segunda alerta de seguridad que las autoridades estadounidenses han enviado sobre los ataques a los MSP. Se envió el Centro Nacional de Integración de Ciberseguridad y Comunicaciones (NCCIC) el primero en octubre de 2018 cuando advirtieron sobre los intentos en curso de grupos de piratería patrocinados por el estado para violar MSP, y especialmente los ataques dirigidos a proveedores de servicios basados ​​en la nube.

Esta primera alerta se envió en un momento en que los grupos de piratería chinos se habían centrado en violar a los proveedores administrados basados ​​en la nube como una forma de comprometer a las grandes empresas a través de su cadena de suministro de computer software. Esta vez, el Servicio Secreto advierte sobre ataques similares, pero llevados a cabo por pandillas de delitos informáticos cotidianos en lugar de piratas informáticos patrocinados por el estado.





Enlace a la noticia first