Innanzitutto, è bene sottolineare di cosa si parla quando si utilizza il termine Managed Service Provider (MSP): molte aziende di informatica, infatti, oggigiorno sono già un MSP senza saperlo.
La definizione di un IT Managed Service Provider (MSP) può variare in base alla persona con cui si parla, ma nel settore della piccola e media impresa l’MSP è un fornitore di soluzioni IT che offre:
- help desk telefonico e da remoto senza limiti;
- attività proattiva di gestione IT: backup, sicurezza, monitoraggio, aggiornamenti;
- gestione dei fornitori: software house, TLC, hardware.
La caratteristica principale di un Managed Service Provider è che offre tutti questi servizi con un costo fisso, abitualmente mensile, trimestrale o annuale. Questo, generalmente, è il nodo più complicato da sciogliere per chi si vuole avvicinare a questo modello di lavoro.
Indice degli argomenti
La sicurezza dei Managed Service Provider
Ma ora veniamo a noi ed in particolar modo alla sicurezza, ai recenti attacchi contro i Managed Service Provider e alle motivazioni che sempre più spingono i cyber criminali a rivolgere la loro attenzione verso questi ultimi.
Essere il “collegamento” in un attacco alla supply chain costituisce sicuramente un’esperienza spiacevole per qualsiasi azienda e lo è ancor di più se questo collegamento è rappresentato dai Managed Service Provider, soprattutto se uno dei servizi offerti riguarda la gestione dei sistemi di sicurezza.
Di fatto, come già sottolineato, i cyber criminali stanno rivolgendo la loro attenzione proprio agli MSP ed è molto facile capire il perché, a mio parere: i Managed Service Provider hanno accesso diretto alle infrastrutture di tante aziende e, dopo essere entrati nella rete degli MSP senza dare nell’occhio, gli attaccanti hanno opportunità illimitate per rubare dati oppure infettare altre reti.
Proprio per questo motivo questi ultimi analizzano attentamente ogni singolo toolkit dei Managed Service Provider in cerca di una falla oppure di un piccolo errore di cui potere approfittare.
A richiamo di ciò, non molto tempo fa alcuni cyber criminali (non ancora identificati) sono riusciti a sfruttare la vulnerabilità del software di un MSP per installare il payload di un pericoloso crypto malware (identificato come CVE-2017/2019-18362).
Più nello specifico, si parla di una vulnerabilità contenuta nel plug-in ManagedITSync di ConnectWise, che serve per l’integrazione incrociata tra la piattaforma di automazione di servizi professionali ConnectWise Manage e il sistema di gestione e monitoraggio in remoto Kaseya VSA.
La vulnerabilità non è recente, bensì scoperta nel 2017: essa consentiva la modifica in remoto del database di Kaseya VSA e, a loro volta, i cyber criminali potevano aggiungere nuovi utenti con un qualsiasi tipo di comando SQL (permessi di lettura e scrittura, senza alcun tipo di autenticazione) e qualsiasi tipo di autorizzazione d’accesso riuscendo a creare qualsiasi task, come caricare un malware su tutti i computer dei clienti del Managed Service Provider.
ConnectWise ai tempi risolse il problema aggiornando immediatamente il plug-in eliminando la minaccia. Tuttavia, come spesso accade in questi casi, non tutti gli utenti hanno installato l’aggiornamento.
Sodinokibi: il ransomware dei Managed Service Provider
Più recentemente è stata la volta di Sodinokibi, un nuovo ransomware che ha iniziato a diffondersi da pochi mesi, ma che si è già reso protagonista di svariate campagne di attacco in Europa, soprattutto in Italia e Germania.
L’obiettivo del ransomware è quello di criptare un grande numero di tipologie di file con una particolarità, ovvero l’aggiunta di un’estensione unica random che viene inserita dopo il nome originale del file criptato.
In aggiunta a ciò, il malware cancella le Shadow Copies e disabilita il ripristino dello startup di Windows, così da rendere impossibile il recupero dei file eccetto che da un backup esterno. Sodinokibi, inoltre, lascia una copia della nota di riscatto in ogni cartella criptata: al suo interno i contatti necessari per ricevere le istruzioni di pagamento.
Ultimamente quello che sta succedendo è che gli MSP sono sotto attacco per colpire i loro clienti con questo malware, Sodinokibi.
Gli attacchi, che paiono provenienti dallo stesso gruppo iniziano con l’ottenimento dei privilegi di amministrazione: successivamente vengono disattivati i software antivirus. Si apre una caccia alle credenziali per gli account Webroot SecureAnywhere, il software di sicurezza WebRoot che usa un sistema di controllo centralizzato con varie funzioni di controllo da remoto, tra le quali quelle di scaricare e installare app sui computer nei quali è in funzione.
In sostanza le ultime 2 funzionalità di WebRoot sono state usate proprio per attaccare i clienti degli stessi MSP, distribuendo appunto Sodinokibi. Dall’altra parte la società WebRoot ha forzato l’implementazione del sistema di autenticazione a due fattori ai propri clienti per accedere agli account personali.
Al momento Sodinokibi non è “risolvibile” se non cedendo al ricatto dei cyber criminali pagando il riscatto.
I consigli per tutelarsi
La prima regola per mettere in sicurezza il Managed Service Provider è sempre quella di tenere costantemente aggiornati eventuali plug-in e applicazioni.
È quindi utile immunizzarsi da qualsiasi malware mettendo in pratica queste semplici soluzioni di sicurezza:
- assicuriamoci che il software usato dall’azienda sia regolarmente aggiornato alle versioni più recenti. Le soluzioni di sicurezza con funzionalità di Vulnerability Assessment e Patch Management possono aiutare ad automatizzare questi processi;
- utilizziamo soluzioni di sicurezza solide dotate di funzionalità di rilevamento comportamentale (behaviour-based) per una protezione efficace contro minacce note e sconosciute, compresi gli exploit.
