Τον Ιούνιο, η Μυστική Υπηρεσία των ΗΠΑ προειδοποίησε τον ιδιωτικό τομέα καθώς και κυβερνητικούς οργανισμούς της χώρας ότι έχει σημειωθεί ανησυχητική αύξηση στις επιθέσεις που έχουν στόχο παρόχους διαχειριζόμενων υπηρεσιών (MSPs). Οι MSPs παρέχουν software απομακρυσμένης διαχείρισης για εταιρείες. Μπορεί να είναι απλές υπηρεσίες, όπως συστήματα κοινής χρήσης αρχείων για την ολοκλήρωση λύσεων που διαχειρίζονται ολόκληρο το σύνολο των υπολογιστών ενός πελάτη. Οι περισσότερες υπηρεσίες MSP βασίζονται στο μοντέλο αρχιτεκτονικής λογισμικού πελάτη-διακομιστή. Το τμήμα του διακομιστή μπορεί να φιλοξενείται εξ αποστάσεως με τον MSP, μέσα σε μια υποδομή επιρροής ή να εγκατασταθεί on-premise με τον πελάτη. Συνήθως, η πρόσβαση στο στοιχείο διακομιστή ενός MSP παρέχει σε έναν εισβολέα τη δυνατότητα να έχει τον πλήρη έλεγχο όλων των πελατών software.
Σε μια ειδοποίηση ασφαλείας που στάλθηκε στις 12 Ιουνίου, η Μυστική Υπηρεσία των ΗΠΑ ανέφερε ότι η ερευνητική της ομάδα GIOC (Global Investigations Operations Center) παρατηρεί αύξηση των περιστατικών, όπου χάκερς παραβιάζουν λύσεις MSP και τις χρησιμοποιούν ως εφαλτήριο στα εσωτερικά δίκτυα των Πελατών του MSP. Συγκεκριμένα, οι αξιωματούχοι ανέφεραν πως παρατηρούν ότι χάκερς χρησιμοποιούν παραβιασμένους MSP για να πραγματοποιούν επιθέσεις εναντίον συστημάτων σημείου πώλησης (POS), να εκτελούν απάτες επιχειρηματιών στο διαδίκτυο (BEC) και να αναπτύσσουν ransomware. Αυτή η προειδοποίηση περιλαμβάνει τις βέλτιστες πρακτικές που πρέπει να εφαρμόζονται από τους MSP και τους αντίστοιχους πελάτες τους. Οι επιθέσεις εναντίον των MSP σημείωσαν σημαντική αύξηση μέσα στο 2019, όταν συμμορίες ransomware, όπως οι GandCrab ή REvil, άρχισαν να στοχεύουν MSP και να μολύνουν τους πελάτες τους.
Σε μια έκθεση που δημοσιεύθηκε στα τέλη του 2019, η εταιρεία πληροφοριών απειλών “Armor” δήλωσε ότι εντόπισε τουλάχιστον 13 MSP που είχαν παραβιαστεί το 2019, ενώ οι υποδομές τους χρησιμοποιήθηκαν για την ανάπτυξη ransomware στα δίκτυα των πελατών τους. Ο Kyle Hanslovan, CEO της Huntress Labs, δήλωσε στο ZDNet ότι η εταιρεία του παρείχε υποστήριξη σε τουλάχιστον 63 περιστατικά hacking MSP το 2019 που οδήγησαν στην ανάπτυξη ransomware σε δίκτυα πελατών. Ωστόσο, ο Hanslovan εκτιμά ότι ο αριθμός των συνολικών περιστατικών ήταν πάνω από 100 το περασμένο έτος.
Ακόμη, τα προϊόντα και οι υπηρεσίες της ConnectWise, που είναι ένας από τους μεγαλύτερους MSP στην αγορά, έχουν βρεθεί πολλές φορές στο στόχαστρο των χάκερς. Τον Νοέμβριο του 2019, η ConnectWise έστειλε μια προειδοποίηση στους πελάτες της, για να τους ενημερώσει σχετικά με συμμορίες ransomware που εκμεταλλεύτηκαν εσφαλμένα διαμορφωμένες εγκαταστάσεις του προϊόντος ConnectWise Automate στις εγκαταστάσεις για την παραβίαση δικτύων πελατών και την ανάπτυξη payload για κρυπτογράφηση αρχείων.
Επιπλέον, τον Ιούνιο του 2020, η ConnectWise επιδιόρθωσε μια ευπάθεια στο Automate API, την οποία είχαν εκμεταλλευτεί χάκερς για να παραβιάσουν εταιρείες και να αναπτύξουν ransomware. Αυτή η ευπάθεια και η επακόλουθη εκμετάλλευσή της ήταν οι παράγοντες που οδήγησαν τη Μυστική Υπηρεσία των ΗΠΑ να στείλει την προειδοποίησή της.
Αυτή η προειδοποίηση ήταν η δεύτερη ειδοποίηση ασφαλείας που έστειλαν οι αμερικανικές αρχές σχετικά με επιθέσεις εναντίον MSP. Το Εθνικό Κέντρο Ενσωμάτωσης της Κυβερνοασφάλειας και Επικοινωνιών (NCCIC) έστειλε την πρώτη προειδοποίηση τον Οκτώβριο του 2018, με στόχο να ενημερώσει για απόπειρες κρατικών πειρατικών ομάδων να παραβιάσουν MSP, και ιδίως για επιθέσεις που στοχεύουν παρόχους cloud-based υπηρεσιών.
H ειδοποίηση ασφαλείας στάλθηκε σε μια περίοδο που κινεζικές πειρατικές ομάδες εστίαζαν στην παραβίαση διαχειριζόμενων παρόχων που βασίζονται στο cloud, έχοντας ως στόχο να παραβιάσουν μεγαλύτερες εταιρείες μέσω της αλυσίδας εφοδιασμού software τους. Αυτή τη δεύτερη φορά, η Μυστική Υπηρεσία των ΗΠΑ προειδοποιεί για παρόμοιες επιθέσεις, οι οποίες εκτελούνται όμως από καθημερινές συμμορίες κυβερνοεγκλήματος και όχι από χάκερς που χρηματοδοτούνται από το κράτος.
