Kansas MSP ferme les services cloud pour repousser les cyberattaques
3 min read
Un fournisseur de products and services gérés américain NetStandard a subi une cyberattaque obligeant l’entreprise à fermer ses services cloud MyAppsAnywhere, consistant en des companies hébergés Dynamics GP, Trade, Sharepoint et CRM.
Selon un e-mail envoyé aux customers de MyAppsAnywhere partagé sur Redditla société a détecté des signes d’une cyberattaque mardi matin et a rapidement fermé les providers cloud pour empêcher la propagation de l’attaque.
“À approximativement 11h30 CDT le 26 juillet, NetStandard a identifié des signes d’attaque de cybersécurité dans l’environnement MyAppsAnywhere. Notre équipe d’ingénieurs a été engagée sur un pont d’incident actif depuis qu’elle a travaillé pour isoler la menace et minimiser l’impact.
Les companies MyAppsAnywhere, qui incluent Hosted GP, Hosted CRM, Hosted Exchange et Hosted Sharepoint, seront hors ligne jusqu’à nouvel ordre.
Aucun autre service de NetStandard n’a été impacté pour le instant.” – NetStandard.
La société affirme avoir engagé son assureur pour l’aider à identifier la supply de l’attaque et à remettre les systèmes en ligne.
Bien que la société affirme que seuls les products and services MyAppsAnywhere sont affectés, l’attaque semble avoir eu un impact plus massive, le internet site principal de la société étant également fermé.
La société a organisé des appels Zoom toutes les heures pour informer les purchasers des pannes, BleepingComputer ayant déclaré que la société est désormais engagée avec une société de cybersécurité tierce fournie par leur compagnie d’assurance.
Comme NetStandard ne partage pas d’autres détails, on ne sait pas quel kind d’attaque s’est produit. Cependant, les chercheurs en sécurité pensent qu’il s’agit probablement d’une attaque de ransomware, comme on le voit souvent avec des cyberattaques comme celle sur NetStandard.
Si vous avez des informations de première major sur l’attaque contre NetStandard ou d’autres cyberattaques non signalées, vous pouvez nous contacter en toute confidentialité sur Signal au +16469613731.
Une coïncidence?
Dans ce qui pourrait être une coïncidence, le PDG de Huntress Lab, Kyle Hanslovan, a tweeté hier une seize d’écran d’un acteur menaçant à la recherche de partenaires pour mener une attaque contre un fournisseur de services gérés.
Selon le post sur le discussion board de piratage Exploit russophone, l’acteur de la menace prétend avoir accès à un panneau MSP gérant additionally de 50 entreprises, 100 serveurs VMware ESXi et furthermore de 1000 serveurs.
La source: Kyle Hanslovan
Dans le publish du forum, l’acteur de la menace recherche des strategies d’autres pirates sur la façon de monétiser leur accès.
“En termes de préparation, il restait peu de choses, donc mon pourcentage de profit sera certainement élevé. Pour plus de détails et de recommendations – dans les messages privés”, lit-on dans le message traduit du forum.
Bien qu’il ne soit pas clair si ce information de forum est lié à l’attaque contre NetStandard, il ne serait pas exagéré qu’un membre du rançongiciel ait contacté l’acteur de la menace pour s’associer avec lui.
Les MSP sont une cible de grande valeur pour les gangs de rançongiciels vehicle ils offrent un moyen basic de chiffrer plusieurs entreprises à la fois via une seule brèche, offrant de nombreuses opportunités d’extorsion pour les acteurs de la menace. De furthermore, si de nombreuses entreprises sont cryptées, cela peut obliger le MSP à payer une rançon pour protéger les données et récupérer les fichiers de leurs clients.
Dans le passé, il y a eu de nombreuses attaques contre les MSP, avec une filiale pour l’opération de rançongiciel GandCrab et furthermore tard, REvil, montrant un intérêt et une aptitude à attaques contre les fournisseurs de services gérés.
Cependant, l’attaque la plus importante contre les MSP s’est produite en juillet 2021, lorsque le rançongiciel REvil a mené une attaque de la chaîne d’approvisionnement Kaseya qui a chiffré des milliers d’entreprises.
BleepingComputer a contacté NetStandard avec des inquiries sur l’attaque mais n’a pas reçu de réponse pour le instant.
