Stále rostoucí počet poskytovatelů řízených služeb se stává terčem hackerů. Útoky na jejich kyberbezpečnostní mechanismy ale mohou mít vážné dopady pro jejich zákazníky – kompromitovaní MSP totiž mohou sloužit jako odpalovací rampy pro přístup do podnikových sítí.
Právě případy hacknutých MSP jsou konkrétním příkladem, proč by organizace měly zvážit možná rizika a být připravené blokovat hrozby přicházející od zdánlivě důvěryhodných obchodních partnerů.
Před nedávnem se stala obětí ransomwarového útoku společnost Everis, dceřiná firma NTT a jeden z největších MSP ve Španělsku. Na základě interní komunikace, jež unikla na Twitter, vedení nakázalo zaměstnancům, aby vypnuli své počítače, a přerušila se síťová spojení mezi kancelářemi a klienty.
Útok pomocí ransomwaru přímo zasáhl ty zákazníky Everisu, kteří si touto společností nechávali spravovat různé prvky IT infrastruktury. Někteří z nich v reakci na událost spustili vlastní interní vyšetřování s cílem zjistit, zda a jak byli infikováni.
Malwarový program, jenž se použil k útoku, zašifroval soubory Everisu pomocí ransomwaru s označením .3v3r1s. Společnost také obdržela vzkaz se žádostí o výkupné a výzvou, aby incident udržela pod pokličkou.
To naznačuje, že tento MSP nebyl náhodnou obětí kobercového náletu, ale že si jej hackeři vybrali úmyslně a ušili mu ransomware takzvaně na míru.
Další útoky na MSP
Útoky na MSP a MSSP byly v loňském roce na vzestupu; první vlnu spustil v únoru ransomware GandCrab, jenž cílil na známou zranitelnost v plug-inu integrujícím ConnectWise se službou Kaseya, což jsou dvě platformy, které MSP používají ke správě systémů.
S další vlnou útoků se pak MSP potýkali v červnu, kdy se přes Webroot Management Console, další oblíbený nástroj poskytovatelů spravovaných služeb, do jejich systémů dostal ransomware Sodinobiki.
Tento incident přiměl kyberbezpečnostní společnost Webroot podrobně informovat zákazníky a zavést dvoufaktorovou autentizaci.
V nedávné době zase bezpečnostní firma Armor zveřejnila zprávu označující třináct MSP a poskytovatelů cloudových služeb, kteří se vloni stali obětí ransomwaru. V mnoha případech tyto incidenty infikovaly i sítě jejich zákazníků, mezi které patří například vzdělávací instituce, advokátní a realitní kanceláře či zdravotnické organizace.
Víc než jen ransomware
Zatímco většina útoků na poskytovatele řízených služeb se vedla s cílem nasadit ransomware, nejde o jediný typ hrozby, kterému zákazníci MSP mohou potenciálně čelit.
Státem podporované kyberšpionážní skupiny by tuto techniku mohly potenciálně využít k dosažení svých cílů, podobně jako sofistikované kyberzločinecké organizace typu Carbanak či FIN7, jejichž „modus operandi“ zahrnuje napadání sítí, infiltraci do kritických systémů nebo dlouhodobé monitorování interních technologických postupů, následované krádežemi finančních prostředků či údajů o platebních kartách.
Když se v roce 2013 kyberzločinci...
Článek pokračuje v nejnovějším tištěném Security Worldu. Ten i starší čísla si můžete objednat na adrese našeho vydavatelství.