Nombre de fournisseurs de services gérés affectés par un ransomware

Quand plus de 20 gouvernements locaux du Texas ont été touchés cet été par un ransomware en un jour. Apparemment, l’attaque a été attribuée à un élément commun aux organisations: un fournisseur de services gérés. Avec leurs propres ressources informatiques limitées, les administrations locales ont de plus en plus recours aux MSP pour exploiter d’importantes parties de leurs réseaux et applications, ainsi qu’à d’autres organisations et sociétés, ce qui confie souvent à des parties critiques de leurs opérations commerciales le MSP. Et cela a fait du MSP une cible très attrayante pour les opérateurs de ransomware.

Chercheurs sur les menaces du fournisseur de sécurité cloud mondial Armor ils ont suivi les incidents rapportés publiquement dans lesquels MSP et les fournisseurs de services cloud ont été victimes de ransomware. Jusqu’à présent, 13 incidents de ce type ont été documentés cette année, dont 6 ont été signalés au cours des derniers mois.

La dernière victime exposée publiquement est Billtrust, qui, en tant que Le journaliste de sécurité Brian Krebs a rapporté: a été touché par ce que BleepingComputer a rapporté était le ransomware BitPaymer (un rapport qui n’a pas été confirmé). BillTrust est un fournisseur de facturation en ligne basé dans le New Jersey qui fournit également des services de décision de crédit. Les dirigeants de Billtrust ont envoyé un courrier électronique à leurs clients le 22 octobre, les informant de l’attaque en leur indiquant:

Nos procédures de sécurité et de sauvegarde standard ont été et continuent d’être fondamentales dans notre capacité à effectuer une restauration continue des services … Par mesure de précaution, nous ne pouvons pas divulguer les souches précises du logiciel de ransomware, mais nous le ferons dès que possible avec la plus grande prudence.

Les autres victimes incluent:

• SchoolinSites, un fournisseur de services basé sur le cloud pour les districts scolaires proposant des sites Web et un accès parental aux informations sur les élèves, a été abattu lors d’une attaque en septembre comme rapporté par WKRG à Mobile, en Alabama. Le courrier électronique de l’entreprise a été affecté, ainsi que d’autres communications. SchoolinSites a dû utiliser Facebook pour fournir des mises à jour pendant l’interruption qui a débuté le 23 septembre.
• TrialWorks, un fournisseur de logiciels de gestion de cas basé en Floride, a été frappé par une attaque de ransomware la semaine du 14 octobre. La société, qui dessert environ 2 500 cabinets d’avocats, a reconnu l’attaque contre le ransomware et déclaré que, même si cela n’affectait pas ses logiciels, environ 5% de ses clients ne pouvaient pas accéder à leurs comptes.
• MetroList basé en Californie, Une société de services applicatifs et de gestion de listes de biens immobiliers comptant environ 20 000 clients courtiers immobiliers a été touchée par un ransomware en juin, laissant les services de la société hors ligne pendant deux jours. MetroList aurait payé la rançon, ce qui incluait une franchise d’assurance de 10 000 dollars.
• Aussi le 14 octobre Magnolia Pediatrics de Prairieville, LouisianeIl aurait été attaqué par un ransomware par l’intermédiaire du fournisseur de services informatiques géré par le cabinet. Magnolia a signalé le ransomware à la police.
• En juillet, CorVel, un fournisseur de services gérés pour les compagnies d’assurance qui traitent les demandes d’indemnisation des accidents du travail, les voitures, la santé et les personnes handicapées, a été touché par le ransomware Ryuk. À mesure que la société répondait, les systèmes utilisés pour traiter les réclamations, les systèmes de courrier électronique et téléphonique ainsi que les bases de données des fournisseurs de soins de santé étaient déconnectés.

Les organisations qui utilisent des fournisseurs de services gérés complets par des services informatiques, tels que Magnolia Pediatrics, sont particulièrement exposées, car la sécurité de tous leurs systèmes dépend de celle du MSP. Comme ce fut le cas au Texas, cela signifiait que toutes vos données étaient en danger. Dans le cas de Magnolia, toutes les données des patients étaient cryptées, mais les attaquants auraient pu les voler avec la même facilité et, comme ces données incluent des données personnellement identifiables concernant des enfants, cela pourrait avoir des conséquences à long terme. Un porte-parole de la clinique a déclaré que « par mesure de précaution », Magnolia avait conseillé aux familles des patients de contrôler les relevés de cartes de crédit et les rapports des bureaux de crédit.

Ces problèmes expliquent pourquoi il est si important d’avoir une conversation (et un contrat) avec un fournisseur de service incluant la sécurité.