VS waarschuwt voor toename van aanvallen op managed serviceproviders

[Captain Kirk]

De Amerikaanse autoriteiten hebben samen met diensten uit Australië, Canada, Nieuw-Zeeland en het Verenigd Koninkrijk een waarschuwing gegeven voor aanvallen op managed serviceproviders (MSP's). Onder andere de FBI en NSA zeggen bekend te zijn met rapporten die een toename melden van aanvallen op MSP's en de diensten verwachten dat deze trend zal doorzetten.

In het verleden zijn meerdere managed serviceproviders getroffen door zowel APT-groepen als ransomwaregroepen. Een bekend incident is dat met Kaseya, dat software aan MSP's levert. Via kwetsbaarheden in de Kaseya-software konden criminelen achter de REvil-ransomware wereldwijd klanten van MSP's met ransomware infecteren. Een ander voorbeeld is dat van een APT-groep genaamd APT10/Cloud Hopper die MSP's aanviel om zo bij klanten te spioneren.

Om dergelijke aanvallen te voorkomen hebben de vijf landen een gezamenlijke Cybersecurity Advisory gepubliceerd met advies. Door de rol die MSP's vervullen hebben ze vaak vergaande toegang tot de systemen van klanten. Het kan zowel om middelgrote bedrijven gaan als vitale infrastructuur. Volgens de FBI en NSA kan het maanden duren voordat een aanval wordt opgemerkt. Organisaties wordt aangeraden om hun belangrijkste logbestanden dan ook zeker zes maanden te bewaren.

MSP's krijgen verder het advies om data en diensten van klanten te scheiden en beheerderswachtwoorden niet te hergebruiken. Verder moeten overbodige accounts van MSP's worden uitgeschakeld. Iets wat bij het veranderen van MSP of opzeggen van het contract over het hoofd kan worden gezien, aldus de advisory. Daarnaast moeten organisaties controleren dat MSP-accounts niet zijn toegewezen aan interne beheerdersgroepen.

 

bron: https://www.security.nl