Os criminosos estão direcionando os provedores de serviços gerenciados (MSPs) para invadir as redes de seus clientes e implantar ransomware, roubar dados e espionar neles, as autoridades de segurança cibernética das Nações do Five Eyes alertaram formalmente em um alerta de segurança conjunta.
"O Reino Unido, as autoridades de segurança cibernética, australiana, canadense, Nova Zelândia e EUA esperam atores cibernéticos maliciosos-incluindo grupos de ameaças persistentes avançadas patrocinadas pelo Estado-para intensificar seu direcionamento de MSPs em seus esforços para explorar os relacionamentos de confiança da rede de provedores de fornecedores, "O alerta alertou.
Esses tipos de ataques de cadeia de suprimentos ou "perseguição de ilhas" podem ser muito lucrativos para os cibercriminosos porque, uma vez que eles invadirem um MSP, eles obtêm acesso a todas as redes e dados dos clientes que estão sendo gerenciados e, por sua vezcontra os clientes desses clientes.
Caso em questão: o ataque do Solarwinds em 2020, quando os malences apoiados pelo Kremlin lançaram malware no software Orion da Solarwinds, que foi então empurrado para cerca de 18.000 clientes da Solarwinds '.Isso permitiu aos criminosos se infiltrarem em quase 100 redes do governo e do setor privado.
O fato de os MSPs ser um ponto fraco na cadeia de suprimentos de TI não é a terra quebrando para um bom número de você no setor, embora seja acolhedor ver os governos não apenas reconhecer a ameaça, mas também tentar destacá -lo.
"O assessório conjunto de hoje é um aviso gritante do perigo claro e presente representado por campanhas de ataques em andamento contra MSPs. Rogue nation states love this method of cyber-colonization," Tom Kellermann, head of cybersecurity strategy at VMware, told The Register.O negócio de virtualização viu um aumento de 58 % no salto na ilha no ano passado, Kellermann acrescentou.
"Estou preocupado que, à medida que a tensão geopolítica metastisse no ciberespaço, esses ataques escalam e os spies cibernéticos russos usarão esse estratagema para implantar malware destrutivo em bases inteiras de clientes de MSPs", disse ele."As empresas devem se concentrar na implementação de trust zero e aumentar a caça de ameaças ativas, especialmente em redes e terminais."
O Alerta dos Cinco Olhos também fornece orientações sobre discussões que devem ocorrer entre os MSPs e seus clientes sobre como proteger dados confidenciais.
"Essas discussões devem resultar em uma reavaliação de processos de segurança e compromissos contratuais para acomodar a tolerância ao risco do cliente", afirmou o aviso.Além disso, os clientes devem verificar se seus contratos especificam que os MSPs implementam certos controles de segurança, de acordo com as agências, que incluem CISA, o FBI e a Aliança de Segurança Nacional.
A primeira etapa, por costume, está implementando controles de segurança e controle de linha de base.Isso inclui backup de sistemas e dados, isolamento de sistemas críticos, aplicação de princípios de menor privilégio no acesso à rede e ao dispositivo e ativando a autenticação multifatorial (MFA).
No entanto, o alerta observou que os criminosos russos patrocinados pelo Estado podem explorar os protocolos padrão do MFA, como demonstraram em ataques recentes que também exploraram a vulnerabilidade da Printnightmare."As organizações devem revisar as políticas de configuração para proteger contra os cenários de 'Fail Open' e reinscrição", alertou o alerta.
Como evitar o compromisso inicial
Como as VPNs de acesso remoto, serviços voltados para a Internet, e-mails de phishing e pulverização de senha geralmente estão envolvidos em um compromisso inicial, as agências também apontam para orientação sobre o endurecimento e a proteção de tecnologias para fechar pontos de entrada comuns para ataques.
Os MSPs devem registrar suas atividades de infraestrutura de entrega relacionadas à prestação de serviços a seus clientes, bem como à atividade de rede interna e de clientes, de acordo com o alerta."Pode levar meses até que os incidentes sejam detectados, portanto, as autoridades de cibersegurança do Reino Unido, Australiano, Canadense, Nova Zelândia e EUA recomendam que todas as organizações armazenem seus registros mais importantes por pelo menos seis meses", afirmou.
Clientes e MSPs devem verificar periodicamente sua superfície de ataque e desativar contas e infraestrutura que não estão mais em uso, como contas de uso depois que um funcionário deixa uma empresa.
E, como sempre, atualize o software e aplique patches."Priorize a aplicação de atualizações de segurança a software contendo vulnerabilidades exploradas conhecidas", sugeriu o alerta.®
Get our Tech Resources
