Os provedores de serviços gerenciados, conhecidos como MSPs (Managed Service Provider), desempenham um papel fundamental no ecossistema de TI. Ao terceirizar muitos dos requisitos diários de TI com esse tipo de empresa, as organizações e, principalmente, as menores, podem economizar custos, melhorar os níveis dos serviços e concentrar mais recursos no crescimento dos negócios. Em teoria, as empresas também podem reduzir o risco de segurança, recorrendo a um provedor confiável e que conte com mais recursos. No entanto, como o ataque de ransomware que atingiu os clientes da Kaseya demonstrou, os MSPs também podem ser uma fonte de riscos de segurança cibernética.
Em meio ao complexo e atual cenário de ameaças, esses riscos evoluem constantemente. Isso pressiona ainda mais as organizações para que façam perguntas de diligência prévia aos possíveis provedores antes de assinar qualquer tipo de contrato.
O que aconteceu com a Kaseya?
A Kaseya é um provedor de software de gerenciamento de TI cujos principais clientes são MSPs. Seu produto VSA oferece patches de software automatizados, monitoramento remoto e outros recursos para que essas empresas possam gerenciar a infraestrutura de TI de seus clientes. Semelhante ao Orion da SolarWinds, o produto requer acessos de altos privilégios aos ambientes do cliente para funcionar. Isso o torna a escolha perfeita para cibercriminosos que procuram um vetor que seja eficaz e forneça um alto retorno do investimento.
Foi exatamente o que aconteceu no último dia 02 de julho. Conforme o próprio provedor descreveu em seu site, os cibercriminosos usaram a plataforma para comprometer dezenas de MSPs e distribuir uma atualização falsa para seus clientes que continha o ransomware REvil/Sodinokibi. Cerca de 50 a 60 MSPs e 1.500 clientes foram afetados. Como os criminosos fizeram isso? Os atacantes exploraram entre uma e três vulnerabilidades zero-day no produto Kaseya VSA, derrotando a própria equipe de segurança do fabricante que já estava trabalhando em patches para corrigir as vulnerabilidades. Veja quais foram as falhas exploradas:
- CVE-2021-30116: vulnerabilidade de filtração de credenciais
- CVE-2021-30119 vulnerabilidade de Cross Site Scripting (XSS)
- CVE-2021-30120: vulnerabilidade que permite contornar a autenticação em dois fatores
Isso permitiu burlar a autenticação na interface da Web local do Kaseya VSA dos MSPs. Em seguida, os cibercriminosos usaram a sessão para carregar seu payload e executar comandos por meio de injeção SQL.
Por que os MSPs podem representar algum tipo de risco?
Esta não é a primeira vez que a Kaseya é atacada por grupos de ransomware. Em 2019, cibercriminosos exploraram um plug-in vulnerável do Kaseya VSA que lhes permitiu comprometer um único cliente do MSP. Com acesso de administrador ao software, os criminosos foram capazes de executar um ransomware em todos os sistemas clientes gerenciados, causando a infecção de 1.500 a 2.000 clientes com o ransomware Gandcrab.
Embora o ransomware Gandcrab tenha sido associado ao REvil, não há indícios de que esses ataques tenham sido realizados pelo mesmo grupo. Em qualquer caso, o crime cibernético na dark web realiza um trabalho de compartilhamento de inteligência que é muito melhor do que o realizado pela comunidade de segurança cibernética. Isso significa que, se os ataques tiverem funcionado em algum ponto no passado, geralmente podem ser repetidos no futuro. Esta é uma má notícia para os MSPs e seus clientes, pois há evidências suficientes para mostrar que as campanhas contra os MSPs podem ser bem-sucedidas.
No passado, algumas vítimas de alto perfil foram afetadas como resultado do trabalho de operações apoiadas pelos Estados. Isso inclui a Operation Cloud Hopper, um esquema ousado de vários anos que foi atribuído ao grupo APT10 e impactou um grande número de vítimas. A diferença hoje é que aqueles que visam os MSPs agora são criminosos com motivação financeira. De acordo com um relatório publicado recentemente, 73% dos MSPs relataram pelo menos um incidente de segurança no ano passado e 60% deles estavam relacionados com o ransomware.
O crime cibernético é atualmente um grande negócio. E faz todo o sentido para os negócios gastar tempo pesquisando e visando uma única organização que pode fornecer acesso a milhares de vítimas do que visar esses clientes de forma individual. Afinal, os MSPs têm dados de clientes e acesso privilegiado a essas organizações. Segundo algumas estimativas, pode haver até 20.000 desses MSPs atendendo atualmente a vários clientes apenas nos Estados Unidos. O problema é que nem todos estão tão seguros quanto deveriam.
Como gerenciar o risco dos MSPs
A dinâmica do mercado deve fazer com que os MSPs que consistentemente falham com seus clientes em segurança eventualmente cedam lugar àqueles com uma postura mais forte no gerenciamento da segurança cibernética. Não faltam ferramentas no mercado para ajudar esses provedores a se diferenciarem em segurança. No entanto, isso só funciona se os clientes estiverem bem informados o suficiente para tomar uma decisão.
Com essa finalidade, aqui estão alguns princípios básicos que devem ser verificados e questões que devem ser consideradas antes de escolher um MSP:
- Como é o seu programa de gerenciamento de patches/vulnerabilidades?
- Com quais parceiros trabalha no nível de software e qual é a reputação deles em garantir segurança/qualidade?
- Execute verificações adicionais em qualquer software MSP que funcione com altos privilégios.
- Impõem os oito controles de mitigação essenciais para MSPs? (são eles: lista de permissões de aplicativos, patching e hardening, restrição de privilégios administrativos, autenticação multifator, patching do sistema operacional, backups diários e ajuste das configurações de macro do Office).
- Contam com proteção antimalware em servidores, endpoints, redes, e-mail, sistemas em nuvem, etc.?
- Operam com uma política de acesso com menos privilégios e segmentação de rede para minimizar a superfície de ataque?
- Treinam e atualizam regularmente as equipes sobre assuntos como o phishing?
- Realizam auditorias/análises de segurança completas e regulares?
- Executam a Detecção e Resposta Estendida a Ameaças (XDR) para proteção proativa?
- Conta com um plano de resposta a incidentes bem ensaiado, mesmo no pior caso?
- Quais padrões, certificações e estruturas do setor a MSP segue?
Os controles de diligência prévia como este não isolarão sua organização 100% de um incidente de segurança envolvendo um MSP, mas ajudarão a reduzir o risco de que o mesmo ocorra. Atualmente, essa é a melhor atitude.
Veja mais: 5 dicas para evitar ser vítima de um ataque de ransomware