Provedores de TI gerenciados: o portal para ameaças à pequenas/medias empresas

Provedores de TI gerenciados: o portal dos atores da ameaça cibernética para as SMBs
Os criminosos tornaram os MSPs um grande alvo de seus ataques. Isso deve preocupar muito as pequenas e médias empresas.

Durante anos, a segurança cibernética foi em grande parte um problema corporativo. As pequenas e médias empresas (SMBs) costumavam ser alvos de ataques oportunistas, mas os danos e a frequência eram baixos o suficiente para não causar preocupação aos proprietários de negócios. Embora possa ser argumentado que os cibercriminosos estavam simplesmente indo atrás de alvos maiores e mais lucrativos, eles também não entenderam como o próprio setor de pequenas e médias empresas poderia ser um alvo valioso. 

2019 mudou tudo isso. Pela primeira vez, os agentes de ameaças cibernéticas começaram a entender verdadeiramente a porta de entrada para atacar e explorar o setor de SMB: o provedor de serviços de TI gerenciados, ou MSP. Com certeza, os MSPs haviam sofrido ataques nos anos anteriores, mas o pagamento médio do resgate em 2018 para um MSP era inferior a US $ 10.000.

O que isso diz sobre a compreensão dos cibercriminosos do MSP médio? Esse MSP é como qualquer outra organização de pequena empresa – uma pequena vítima com pouca capacidade de pagar pela recuperação de ransomware. Esse mantra começou a mudar no final do ano passado, à medida que os MSPs começaram a ser aproveitados como o vetor de infecção inicial de seus clientes maiores. Os ataques de ransomware no Texas foram os primeiros exemplos amplamente divulgados que serviram como catalisadores, mas certamente não foram os últimos .

Assim, a caixa de Pandora se abriu. Ao longo de 2019, vimos os agentes de ameaças começarem a se concentrar novamente nos MSPs. Enquanto o BitPaymer provou que a ” caça ao grande jogo ” era viável e lucrativa, os atores da ameaça GandCrab abriram o caminho para operacionalizar um modelo que incluía MSPs como um alvo.

Em apenas alguns meses, MSP após MSP foi vítima de vários grupos de atores de ameaças sofisticados e de alto nível. Os pagamentos de resgate alcançaram uma média de $ 754.723 quando um MSP e todos os seus clientes foram resgatados, de acordo com a pesquisa da Perch Security.

O frenesi de 2019 continuou em 2020. Os vetores de ameaças comuns para a infecção inicial incluíam qualquer coisa, desde phishing, configurações incorretas como RDP aberto e ataques contra vulnerabilidades conhecidas e desconhecidas nas plataformas de software que os MSPs normalmente usam, como monitoramento e gerenciamento remoto (RMM) Ferramentas.

Sem dúvida, os MSPs ficaram totalmente sob a mira de alguns dos atores de ameaças mais perigosos do mundo. Então, os criminosos mudaram de tática. Eles perceberam que, ao comprometer um MSP por meio de seu RMM, poderiam facilmente implantar o ransomware em toda a sua área de cobertura.

Chris Loehr – vice-presidente executivo da Solis Security, uma empresa de resposta a incidentes – lidou pessoalmente com muitas dessas violações de MSP. Falando do GandCrab, Loehr diz: “Eles certamente atingiram alguns MSPs em 2018, mas os resgates foram relativamente pequenos: US $ 10.000 a $ 25.000. Em 2019, os MSPs se tornaram mais um alvo, com demandas crescentes de resgate e os agentes de ameaças aproveitando as ferramentas MSP com maior eficiência para afetar os clientes. O GandCrab nunca exigiu que o MSP pagasse. Não foi até que o GandCrab evoluiu para o Sodinokibi, em meados de 2019, os agentes de ameaças começaram a dizer: “SÓ queremos que o MSP pague. Você pode pagar por TODOS os clientes ou você não ganha NADA. ‘”

A maioria dos agentes de ameaças de ransomware direcionados aos MSPs começou a perceber que todo o valor de um MSP e de todos os seus clientes SMB era igual ao de uma grande empresa. Loehr confirma isso, dizendo: “Os resgates MSP subiram em 2019 de $ 10.000 para algo entre $ 100.000 e $ 1 milhão. Já vimos uma instância de um resgate de $ 20 milhões.”

2020 viu uma tendência constante e contínua de ataques contínuos contra MSPs. Infelizmente para muitas SMBs, eles foram trazidos para uma nova realidade: eles são incluídos como vítimas por herança por meio do uso de MSPs, geralmente sem culpa própria. Essas SMBs estão presas em um beco sem saída definitivo. Como eles são pequenos demais para investir efetivamente em seu próprio gerenciamento de TI, a parceria com um MSP faz sentido. No entanto, essa parceria pode estar repleta de novos riscos, muitos dos quais o próprio setor de SMB não reconhece totalmente.

Agora, mais do que nunca, os principais MSPs estão reformulando suas ofertas de segurança cibernética. “O novo normal começou e a linha na areia dos requisitos mínimos de segurança cibernética mudou para o SMB”, disse Andrew Morgan, anfitrião do CyberCall , uma comunidade online gratuita de 2.000 MSPs focados em segurança. “Estamos liderando a tarefa para todos os MSPs, ajudando-os a compreender que o que faziam pela segurança no passado não é mais suficiente. E explicar isso a seus clientes é uma competência essencial que todos os MSPs devem ter para sobreviver.”

Morgan explica que a ajuda para todas as pequenas e médias empresas está a caminho. “O CyberCall tem sido um tremendo catalisador para toda a indústria. Já tivemos líderes do Center for Internet Security , Global Cyber ​​Alliance e outros participando de nossa convocação. Eles entendem que a única maneira de o setor de pequenas e médias empresas ser verdadeiramente protegido é por meio do MSP. Eles se concentram em trazer os recursos, a atenção e a ajuda que todos os MSPs e seus clientes SMB precisam nestes tempos difíceis. “

Como resultado desses esforços e de muitos outros em todo o setor, a mudança está no vento. Os MSPs estão começando a entender e construir maturidade em sua postura de segurança cibernética que se estende para o setor de SMB que atendem.

Ninguém está projetando uma redução na atividade de ameaças cibernéticas, então os MSPs que estão reformulando ativamente sua postura de segurança defensiva se posicionam como os mais preparados para se defender com eficácia contra uma ameaça crescente contra o setor de SMB.

Fonte: https://www.darkreading.com/vulnerabilities—threats/managed-it-providers-the-cyber-threat-actors-gateway-to-smbs/a/d-id/1338804