Nuevo vector de ataque: los MSP

Un grupo de cibercriminales muestra un especial interés en los MSP, explotando vulnerabilidades para infectar a sus clientes con malware cifrador.

Convertirse en un “eslabón” en un ataque de cadena de suministro es una experiencia desagradable para cualquier organización, pero lo es aún más para un proveedor de servicios gestionados (MSP), sobre todo si uno de sus servicios consiste en la gestión del sistema de seguridad. Y, no, aunque nos gustaría no estamos hablando de suposiciones, sino de casos reales.

De hecho, los malhechores prestan especial atención a los MSP. Y tiene sentido, pues éstos últimos tienen acceso directo a la infraestructura de muchas otras empresas. Una vez dentro de la red del MSP, hay infinitas probabilidades de robo de datos o infección. Por ello, los cibercriminales examinan a fondo las herramientas de los proveedores de servicios gestionados y esperan hasta que una de ellas cometa un error. Hace un tiempo, una serie de cibercriminales consiguieron lo que estaban buscando: instalar una carga de malware cifrador aprovechando una vulnerabilidad en el software de un MSP.

¿Qué tipo de vulnerabilidad?

La vulnerabilidad se encontraba en el complemento del ManagedITSync de ConnectWise para la integración cruzada entre la plataforma de automatización de servicios profesionales ConnectWise Manage y el sistema de gestión y supervisión remotas Kaseya VSA.

Esta vulnerabilidad permite la modificación remota de la base de datos Kaseya VSA. Esta, a su vez, permite a los atacantes añadir nuevos usuarios con cualquier derecho de acceso y crear nuevas tareas, como cargar malware en todos los ordenadores de los clientes del MSP.

No se trata de una vulnerabilidad nueva; se descubrió en el 2017. ConnectWise actualizó tan pronto como pudo su plug-in y parecía haber neutralizado la amenaza. Pero, como es habitual, no todos los usuarios instalaron la actualización.

Detalles del incidente

Según el equipo de investigación de Huntress Labs, una serie de cibercriminales no identificados han utilizado la vulnerabilidad para atacar los ordenadores de los clientes de un MSP anónimo con un ransomware cifrador llamado GandCrab. Aprovechándose de que Kaseya había concedido derechos de administrador a todos los dispositivos de usuario final, los atacantes crearon una tarea para descargar y ejecutar el malware en los endpoint. Para más información sobre el peligro que supone GandCrab, accede a esta publicación.

Se desconoce si este caso ha sido el único, pero al mismo tiempo, la CISA (Agencia de seguridad de infraestructuras y ciberseguridad) de Estados Unidos publicó una advertencia sobre el aumento de la ciberactividad maliciosa proveniente de China contra los MSP.

¿Qué se puede hacer?

En primer lugar, no te olvides de actualizar el software. Si buscas una solución para el problema de integración entre ConnectWise Manage y Kaseya VSA, comienza por actualizar la herramienta de integración.

Y no pienses que se trata de un incidente aislado. Es probable que los mismos atacantes o incluso otros estén buscando nuevas formas de llegar hasta los clientes de los MSP.

Por tanto, debes tomar la protección de tu propia infraestructura tan enserio como la de tus clientes. Si proporcionas servicios de seguridad, cuentas con todas las herramientas necesarias para proteger tus propios sistemas, sobre todo si ya está implementada la consola de gestión de soluciones de protección.

Puedes obtener más información sobre el programa para proveedores de servicios gestionados aquí.

Consejos