Los delincuentes están apuntando a proveedores de servicios administrados (MSP) para entrar en las redes de sus clientes e implementar ransomware, robar datos y espiarlos, las autoridades de ciberseguridad de los Cinco Ojos, las autoridades de seguridad cibernética han advertido formalmente en una alerta de seguridad conjunta.
"Las autoridades de seguridad cibernética del Reino Unido, Australia, Canadá, Nueva Zelanda y de Ciberseguridad de los Estados Unidos esperan que los actores cibernéticos maliciosos, incluidos los grupos de amenaza persistente avanzada (APT) patrocinadas por el estado, intensifiquen su objetivo de los MSP en sus esfuerzos para explotar las relaciones de confianza de la red de proveedores de proveedores de proveedores.", advirtió la alerta.
Estos tipos de ataques de cadena de suministro o "salto de isla" pueden resultar muy lucrativos para los ciberdelincuentes porque una vez que entran en un MSP, obtienen acceso a todas las redes y datos de los clientes que se administran, y, a su vez, cometen crímenes informáticos y fraudecontra los clientes de esos clientes.
Caso en cuestión: el ataque de SolarWinds en 2020, cuando los delincuentes respaldados por Kremlin deslizaron malware en el software Orion 'Solarwinds, que luego se llevó a unos 18,000 clientes de SolarWinds'.Esto permitió a los delincuentes infiltrarse en casi 100 redes del gobierno y sector privado de los Estados Unidos..
Que los MSP son un punto débil en la cadena de suministro de TI no es la tierra que se rompe por un buen número de usted en la industria, aunque es acogedor ver a los gobiernos no solo reconocer la amenaza sino que también intenta resaltarla..
"El aviso conjunto de hoy es una clara advertencia del peligro claro y presente que representa las campañas de ataque en curso contra los MSP. Rogue nation states love this method of cyber-colonization," Tom Kellermann, head of cybersecurity strategy at VMware, told The Register.El negocio de la virtualización ha visto un aumento del 58 por ciento en el salto de la isla durante el año pasado, agregó Kellermann.
"Me preocupa que a medida que la tensión geopolítica se metastice en el ciberespacio, estos ataques se intensificarán y los ciberdelacros rusos utilizarán esta estratagema para desplegar malware destructivo en bases de clientes de los clientes completos", dijo.."Las empresas deben centrarse en implementar cerofilipio y aumentar la caza de amenazas activas, especialmente en redes y puntos finales."
La alerta Five Eyes también proporciona orientación sobre discusiones que deberían ocurrir entre los MSP y sus clientes sobre la obtención de datos confidenciales.
"Estas discusiones deberían dar lugar a una reevaluación de los procesos de seguridad y los compromisos contractuales para acomodar la tolerancia al riesgo de los clientes", declaró el asesoramiento.Además, los clientes deben verificar que sus contratos especifiquen que los MSP implementan ciertos controles de seguridad, según las agencias, que incluyen CISA, el FBI y la Alianza de Seguridad Nacional..
El primer paso, como de costumbre, es implementar controles de seguridad y operaciones operativos..Esto incluye hacer una copia de seguridad de sistemas y datos, aislar sistemas críticos, aplicar principios de menos privilegios en el acceso a la red y el dispositivo, y activar la autenticación multifactor (MFA).
Sin embargo, la alerta señaló que los delincuentes rusos patrocinados por el estado pueden explotar los protocolos de MFA predeterminados, como lo demostraron en ataques recientes que también explotaron la vulnerabilidad de Printnightmare.."Las organizaciones deben revisar las políticas de configuración para proteger contra 'fallas abiertas' y volver a inscribir escenarios", advirtió la alerta..
Cómo prevenir el compromiso inicial
Debido a que las VPN de acceso remoto, los servicios orientados a Internet, los correos electrónicos de phishing y la pulverización de contraseñas generalmente están involucrados en un compromiso inicial, las agencias también señalan la orientación sobre el endurecimiento y la protección de las tecnologías para cerrar los puntos de entrada comunes para los ataques.
Los MSP deben registrar sus actividades de infraestructura de entrega relacionadas con la prestación de servicios a sus clientes, así como a la actividad de la red interna y de clientes, según la alerta."Puede pasar meses antes de que se detecten incidentes, por lo que las autoridades de ciberseguridad del Reino Unido, Australia, Canadá, Nueva Zelanda y Ciberseguridad de los Estados Unidos recomiendan que todas las organizaciones almacenen sus registros más importantes durante al menos seis meses", dijo.
Los clientes y los MSP deben verificar periódicamente su superficie de ataque y deshabilitar cuentas e infraestructura que ya no están en uso, como las cuentas de uso después de que un empleado deja a una empresa.
Y, como siempre, actualice el software y aplique parches."Priorice la aplicación de actualizaciones de seguridad al software que contiene vulnerabilidades explotadas conocidas", sugirió la alerta..®
Get our Tech Resources
