El Servicio Secreto de EE. UU. Informa un aumento en los proveedores de servicios administrados (MSP) pirateados



El Servicio Secreto de EE. UU. Envió una alerta de seguridad el mes pasado al sector privado de EE. UU. Y a las organizaciones gubernamentales advirtiendo sobre un aumento en los ataques de proveedores de servicios administrados (MSP). Los MSP proporcionan software de gestión remota para empresas. Los MSP pueden ser servicios simples como sistemas de intercambio de archivos para completar soluciones que administran la flota de computadoras de un cliente.
La mayoría de los servicios de MSP se basan en una arquitectura de software servidor-cliente. La parte del servidor se puede alojar de forma remota con el MSP dentro de una infraestructura en la nube, o instalarse en las instalaciones con el cliente. Por lo general, obtener acceso al componente de servidor de un MSP le otorga al atacante el control total de todos los clientes de software.
En una alerta de seguridad enviada el 12 de junio, los funcionarios del Servicio Secreto dijeron que su equipo de investigaciones (GIOC - Centro de Operaciones de Investigaciones Globales) ha visto un aumento en los incidentes en los que los piratas informáticos violan las soluciones de MSP y las usan como trampolín hacia las redes internas de la red. Clientes de MSP. Funcionarios del Servicio Secreto dijeron que han visto a actores de amenazas usar MSPs pirateados para llevar a cabo ataques contra sistemas de puntos de venta, realizar estafas de compromiso de correo electrónico comercial (BEC) y desplegar ransomware. La alerta, que ZDNet obtuvo una copia aquí, contiene las mejores prácticas para ser implementadas por los MSP y sus respectivos clientes.
Los ataques contra los MSP han aparecido recientemente en los titulares, con un aumento en los ataques en 2019, cuando las pandillas de ransomware como GandCrab o REvil (Sodinokibi) comenzaron a atacar a los MSP y luego infectar a sus clientes. En un informe publicado en octubre de 2019, la firma de inteligencia de amenazas Armor dijo que identificó al menos 13 MSP que fueron pirateados en 2019 y que se abusó de su infraestructura para implementar ransomware en las redes de sus clientes. En una llamada telefónica hoy con ZDNet, Kyle Hanslovan, CEO de Huntress Labs, dijo que su compañía brindó soporte en al menos 63 incidentes de ataques de MSP en 2019 que resultaron en ransomware en las redes de los clientes; sin embargo, Hanslovan sospecha que el número de incidentes totales superó los 100 el año pasado.
ConnectWise, uno de los proveedores de MSP más grandes del mercado, ha tenido sus productos y servicios a menudo dirigidos por piratas informáticos. En noviembre de 2019, ConnectWise envió una alerta interna a sus clientes sobre las pandillas de ransomware que explotan instalaciones mal configuradas de su producto ConnectWise Automate local para violar las redes de los clientes e implementar cargas de cifrado de archivos. En junio de 2020, ConnectWise parcheó una vulnerabilidad de Automatización de API que los piratas informáticos también habían usado para violar compañías e implementar ransomware.
A ZDNet se le informó que esta vulnerabilidad y la explotación posterior es lo que llevó al Servicio Secreto a enviar su alerta. La alerta del Servicio Secreto es en realidad la segunda alerta de seguridad que las autoridades estadounidenses han enviado sobre los ataques a los MSP. El Centro Nacional de Integración de Ciberseguridad y Comunicaciones (NCCIC) envió el primero en octubre de 2018 cuando advirtió sobre los intentos continuos de los grupos de piratería patrocinados por el estado para violar los MSP, y especialmente los ataques dirigidos a proveedores de servicios basados ​​en la nube.
Esta primera alerta se envió en un momento en que los grupos de piratas informáticos chinos se habían centrado en violar a los proveedores administrados basados ​​en la nube como una forma de comprometer a las grandes empresas a través de su cadena de suministro de software. Esta vez, el Servicio Secreto advierte sobre ataques similares, pero llevados a cabo por pandillas de ciberdelincuencia cotidianas en lugar de piratas informáticos patrocinados por el estado.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı