Usługi IT chroniące działalność gospodarczą od strony technicznej z wykorzystaniem modelu chmury nie są w Polsce tak popularne jak na Zachodzie. Sektor publiczny zazwyczaj koncentruje się na usługach SaaS hostowanych w krajowej infrastrukturze. Jest to wynikiem wymogu przy zamówieniach publicznych, w których jednym z punktów jest przechowywanie danych na terenie państwa. Prywatni przedsiębiorcy nie są skrępowani przez prawo (jeżeli nie świadczą usług dla administracji publicznej), dlatego w statystykach chętniej powierzają bezpieczeństwo w ręce „zaufanego, zewnętrznego partnera”.Wdrożenie rozwiązania antywirusowego i odhaczenie pozycji w polityce bezpieczeństwa to za mało, aby można było mówić o tzw. compliance. Kto poniesie odpowiedzialność za straty finansowe? Czy istnieje jakaś granica zaufania? Czy klient końcowy ma pewność, że dostawca usług posiada wystarczające kwalifikacje? I w końcu czy używanie złożonego hasła do systemu przechowującego pełną konfigurację klienta wypełnia znamiona dochowania „należytej staranności”?Ma uprawnienia admina, bo ktoś przejął hasło do konsoli WebrootaIncydent bezpośrednio dotyczy antywirusa Webroot z konsolą dla MSP (Managed Service Provider), czyli dla partnerów obsługujących mniejszych klientów. I już na początku trzeba wyjaśnić, że odpowiedzialnością za wpadkę obarczony jest partner MSP, a nie producent. Temu pierwszemu można zarzucić, że stosował zbyt proste hasło albo zapomniał się wylogować lub nienaturalnie wydłużył czas podtrzymania sesji. Konsola antywirusa Webroot dla firm.Webroot niestety nie ma pełnoprawnego drugiego składnika logowania (2FA, ang. second-factor authentication), lecz hasło oraz kod bezpieczeństwa. Czy to za mało? Przecież dokładnie tak traktują nas banki z tą różnicą, że do potwierdzania operacji wymaga się dodatkowej autoryzacji. W konsoli Webroota po zalogowaniu się nie trzeba już niczego potwierdzać. Ma się pełny dostęp do ustawień antywirusa, a więc i do uprawnień administratora na końcówce. W związku z tym możliwe jest na przykład tworzenie zaufanych list plików i uruchamiane skryptów, które normalnie byłyby rozpoznane jako złośliwe, ale zostaną potraktowane jako zaufane, jeżeli będą dodane w konsoli do wyjątków.Z tymi uprawnieniami w konsoli Webroota to też nie jest taka oczywista sprawa. Klienci końcowi mogą mieć przyznane uprawnienia znacznie niższe niż główny administrator lub mogą to być uprawnienia wyłącznie do odczytu. Ujawnienie loginu do konta, które nie ma uprawnień np. do wykonywania krytycznych operacji, jeszcze o niczym nie przesądza. W przypadku tego incydentu przestępcy uzyskali dostęp do konsoli dużego partnera, mającego pod swoją opieką setki mniejszych firm (jedno ze źródeł wspomina o tysiącach klientów).Oznaczyli złośliwy plik jako bezpiecznyOdbiorcy bezpośredni, którzy kupili rozwiązanie Webroot SecureAnywhere Endpoint Protection i byli „zarządzani” z zewnątrz (outsourcing IT), musieli walczyć z atakiem ransomware zainicjowanym nie ze swojej winy.Producentem oprogramowania Webroot jest firma z USA. Cechą wyróżniającą produkt jest konsola w chmurze, dzięki której mała firma może oddać zarządzanie bezpieczeństwem w ręce partnera. Zaufanie do dostawcy nie może być bezgraniczne, ponieważ usypia czujność. Przekazywanie dostępu do konsoli poza firmę jest w niektórych środowiskach uznawane za kontrowersyjne, ale przecież ktoś musi monitorować stacje robocze, nawet w tych najmniejszych przedsiębiorstwach. Natomiast kto będzie monitorował monitorującego?Źródło. Analiza zagrożenia: https://securelist.com/sodin-ransomware/91473Na Reddicie opublikowano wiadomość o ransomware Sodin, które znalazło się na komputerach klientów końcowych. Przestępcy wykorzystali nietypowy wektor ataku, ponieważ w kilku przypadkach użyli konsoli administratora produktu Webroot. Mniej technicznym użytkownikom wyjaśnijmy raz jeszcze, że jest to antywirus biznesowy, dzięki któremu ktoś z zewnątrz z dowolnego miejsca na świecie może zdalnie świadczyć usługi ochrony komputerów. Małe firmy nie zatrudniają administratorów. Te zadania przejmuje pracownik, który zna się na komputerach spośród zatrudnionych. W związku z tym czasami lepiej ponieść niski miesięczny koszt za usługę IT niż otwierać nowy etat.Ofiarami ransomware Sodin byli właśnie tacy mali odbiorcy, którzy zaufali swojemu partnerowi. Wiadomo już, że były to trzy duże firmy. Jedna z nich to IT By Design. Pozostałe dwie nie są znane. W atakach wykorzystujących dostawców usług zarządzanych, ransomware Sodin przedostaje się na urządzenie ofiary na różne sposoby. Atakujący przedostali się do infrastruktury dostawców usług zarządzanych poprzez połączenie RDP, zwiększyli uprawnienia, dezaktywowali rozwiązania zabezpieczające i kopie zapasowe, i wreszcie pobrali na komputery klienckie ransomware. Czasami atakujący dostarczali trojana poprzez konsolę zdalnego dostępu Webroot i Kaseya: na jednym ze serwerów hacker zauważył też, że administrator był zalogowany do konsoli Webroota. Wykorzystał panel internetoSource: Użyli konsoli antywirusa Webroot, aby zainstalować ransomware
