Gli MSP come vettore d’attacco

I cybercriminali stanno mostrando un vivo interesse nei confronti degli MSP (Managed Service Provider): sfruttano vulnerabilità per colpire i loro clienti e infettarli con cryptomalware.

Essere il “collegamento” in un attacco alla supply chain costituisce un’esperienza spiacevole per qualsiasi azienda, e lo è ancor di più se questo collegamento sono gli MSP (Managed Service Provider). E se uno dei servizi offerti riguarda la gestione dei sistemi di sicurezza… Purtroppo, non stiamo parlando di casi ipotetici (ci piacerebbe molto fosse così) ma di situazioni reali.

Di fatto, i cybercriminali stanno rivolgendo la loro attenzione proprio agli MSP. È facile capire il perché: gli MSP hanno accesso diretto alle infrastrutture di tante aziende e, dopo essere entrati nella rete degli MSP senza dare nell’occhio, i cybercriminali hanno opportunità illimitate per rubare dati o infettare altre reti. Per questo motivo, i cybercriminali analizzano attentamente I toolkit degli MSP alla ricerca di un errore di cui poter approfittare. Un po’ di tempo fa, hanno ottenuto proprio ciò che volevano: dei cybercriminali non ben identificati hanno sfruttato la vulnerabilità del software di un MSP per installare un payload cryptomalware.

Di quale vulnerabilità stiamo parlando?

La vulnerabilità risiedeva nel plug-in ManagedITSync di ConnectWise, che serve per l’integrazione incrociata tra la piattaforma di automazione di servizi professionali ConnectWise Manage e il sistema di gestione e monitoraggio in remoto Kaseya VSA.

La vulnerabilità consente la modificazione in remoto del database di Kaseya VSA e, a loro volta, i cybercriminali potevano aggiungere nuovi utenti con qualsiasi tipo di autorizzazione d’accesso e creare qualsiasi task, come caricare un malware su tutti i computer dei clienti del MSP.

Non si tratta di una vulnerabilità recente, anzi, è stata scoperta nel 2017. ConnectWise ai tempi ha aggiornato immediatamente il plug-in e sembrava aver neutralizzato la minaccia; tuttavia, come spesso accade, non tutti gli utenti hanno installato l’aggiornamento.

I dettagli dell’incidente

Secondo il team di ricerca di Huntress Labs, la vulnerabilità è stata sfruttata da hacker non identificati per colpire i computer dei clienti di un MSP anonimo mediante il ransomware GandCrab, che cifra i dati. Approfittando del fatto che Kaseya aveva l’accesso da amministratore di tutti i dispositivi degli utenti finali, i cybercriminali hanno creato una task per scaricare e diffondere il malware sugli endpoint. In questo post abbiamo descritto i vari danni che GandCrab può provocare.

Non ci sono informazioni aggiuntive per capire se si tratta dell’unico caso; tuttavia, più o meno allo stesso tempo, la Cybersecurity and Infrastructure Security Agency (CISA) statunitense ha pubblicato un avviso riguardante l’aumento di attività dannosa da parte di cybercriminali cinesi che colpisce gli MSP.

Cosa fare?

Innanzitutto, non dimenticate di aggiornare il vostro software. Se siete alla ricerca di una soluzione per questo problema di integrazione in particolare tra ConnectWise Manage e Kaseya VSA, vi consigliamo di aggiornare prima di tutto il tool di integrazione.

Non cullatevi sul fatto che si tratti di un caso isolato; probabilmente non è così, e gli stessi cybercriminali dell’incidente in questione (o altri) staranno già cercando altri modi per arrivare ai clienti degli MSP.

Per questo, la protezione dell’infrastruttura MSP deve essere presa con la dovuta serietà, come avviene per l’infrastruttura dei clienti. Se offrite servizi di sicurezza, avete tutti gli strumenti a disposizione per proteggere i vostri sistemi, soprattutto se impiegate già una console per la gestione delle soluzioni di protezione.

Qui troverete maggiori informazioni sui servizi di Kaspersky Lab dedicati agli MSP.

Consigli