En Managed Service Provider, MSP är ett företag som hanterar och supportar it-funktionen och -infrastrukturen på distans för deras kundorganisationer. För kunden är den stora fördelen att MSP:n övervakar it-systemet och kan proaktivt sätta in åtgärder när så krävs.

Men, för att kunna göra detta använder msp:n mjukvara som låter dem få fjärrtillgång till kundernas system och monitorera servrar och klienter, trycka ut uppdateringar, installera mjukvara, åtgärda problem och ändra inställningar och konfigurationer. En moderna msp klarar även att baka in kundernas molnapplikationer och -tjänster i sin service.

Denna modell är som ljuv musik för cyberkriminella som vill distribuera gisslanprogram och annan skadlig kod, eftersom msp:n är nyckeln till en pandoras box full med kundsystem.

Distributörer av gisslanprogram har börjat rikta in sig mot msp:er, av förklarliga skäl. Det ger dem många flugor i samma smäll. Färska rapporter om attacker mot msp:er visar att flera av dessa blivit attackerade, men framförallt har hundratals eller tusentals av deras kunder blivit infekterade av gisslanprogrammet Gandcrab, skriver Bleeping Computer.

Som TechWorld skrev förra veckan attackerades den norska msp:n och nordiska it-jätten Visma. Visserligen pekar det mesta på att den attacken utfördes av den kinesiska säkerhetstjänsten, via hackergruppen APT 10, som en del av det kinesiska industrispionaget, men det var vissa av Vismas kunder som attacken, med all sannolikhet, var riktad mot. Och det är i sammanhanget ingen slump att Visma är en typisk msp.

För en msp är detta en mardröm. Tanken med deras funktion är att skydda kunderna, inte att vara en smittoväg. Men allt eftersom de hittillsvarande smittovägarna och metoderna för spridning av gisslanprogram blir allt svårare att utnyttja, tack vare att vi skyddar oss bättre, letar de cyberkriminella efter nya spår. På senare tid har det rapporterats om två fall i USA där två medelstora msp:er attackerats med resultat att, i det ena fallet, åttio av kunder blivit smittade, och det andra fallet 15 procent av kunderna. I bägge fallen handlar det om Gandcrab.

Enligt it-säkerhetskonsulterna HuntressLabs utförs attackerna mot msp:erna med hjälp av en sårbarhet i en länk mellan två av de vanligaste verktygen msp:er använder för att hantera kundernas system. Det handlar om en plug-in som heter ManagedITSync vars syfte är att integrera de vanligt förekommande verktygen ConnectWise och Kaseya. ConnectWise används för att kund- och ärendehantering, och Kaseya används för administration av msp-kundernas datorer och annan infrastruktur. Sårbarheten i ManagedITSync, som visats i en proof-of-concept, gör att en förövare kan utföra diverse kommandon i Kaseya, inklusive att nollställa administrationlösenord.

Läs också:
Visma hackat av kinesisk säkerhetstjänst
Så gick det till när Visma hackades – det började med två stulna Citrix-konton