ARTIGOS / PROVEDORES DE SERVIçOS GERENCIADOS

Kaseya: como uma única credencial de um MSP alcançou 1.500 empresas em poucas horas


Em 2 de julho de 2021, atacantes comprometeram uma única credencial de um Managed Service Provider (MSP) na Kaseya, desencadeando o maior ataque de ransomware de cadeia de suprimentos da história. Em poucas horas, a violação se propagou por aproximadamente 60 MSPs, alcançando cerca de 1.500 empresas clientes em 17 países.

A velocidade do ataque revelou uma fraqueza fundamental na forma como provedores de serviços gerenciados controlam o acesso aos ambientes de seus clientes.

O grupo de ransomware REvil explorou uma vulnerabilidade de dia zero no software de monitoramento remoto Kaseya VSA, mas o alcance devastador da invasão veio das credenciais de serviço comprometidas, que forneciam acesso administrativo a múltiplas redes de clientes.

Esse único ponto de falha demonstrou como os modelos tradicionais de gerenciamento de identidade falham quando aplicados ao modelo MSP, cuja arquitetura é naturalmente distribuída.

O problema da multiplicação de credenciais em MSPs

Os Managed Service Providers operam com um modelo de acesso fundamentalmente diferente das empresas tradicionais.

Enquanto equipes internas de TI gerenciam credenciais dentro de perímetros de rede definidos, os MSPs precisam manter acesso privilegiado simultâneo a dezenas ou centenas de ambientes de clientes.

Isso cria uma multiplicação exponencial das superfícies de ataque.

Cada técnico de MSP normalmente possui credenciais administrativas para vários sistemas de clientes, criando o que pesquisadores de segurança chamam de "credential sprawl" (proliferação de credenciais).

Essas credenciais frequentemente:

  • Permanecem ativas por longos períodos
  • Acumulam-se conforme a carteira de clientes cresce
  • Possuem controles de permissão insuficientemente granulares
  • Podem fornecer acesso excessivo a múltiplos ambientes

O problema aumenta quando MSPs utilizam plataformas centralizadas de gerenciamento, como o Kaseya VSA, que agregam acesso a vários ambientes de clientes através de pontos únicos de autenticação.

O incidente da Kaseya demonstrou claramente esse efeito de multiplicação.

Os atacantes precisaram comprometer apenas um caminho de acesso para alcançar os clientes do MSP, que posteriormente se tornaram canais involuntários para milhares de empresas downstream.

O ataque se propagou através de relações de confiança estabelecidas e canais legítimos de acesso, tornando a detecção e contenção extremamente difíceis.

A dimensão da vulnerabilidade dos MSPs

Dados recentes mostram a escala dessa fraqueza estrutural no setor de serviços gerenciados.

Segundo a Cybersecurity Ventures, o mercado global de MSP alcançou US$ 354,8 bilhões em 2023, com mais de 40.000 MSPs operando mundialmente.

Pesquisas da Datto mostram que 82% dos MSPs gerenciam segurança para seus clientes, posicionando esses provedores como componentes críticos de infraestrutura digital, e não apenas como prestadores de serviços.

O impacto financeiro de violações envolvendo MSPs reflete essa importância sistêmica.

O IBM Cost of a Data Breach Report 2023 identificou que violações envolvendo provedores de serviços gerenciados custaram em média US$ 4,82 milhões, contra US$ 4,45 milhões em violações empresariais tradicionais.

O ataque à Kaseya sozinho gerou perdas estimadas superiores a US$ 70 milhões entre empresas afetadas, segundo dados de sinistros de seguros cibernéticos.

A fiscalização regulatória também aumentou.

A Diretiva NIS2 da União Europeia, implementada em outubro de 2024, inclui explicitamente provedores de serviços gerenciados em seu escopo de entidades essenciais.

Nos Estados Unidos, a Cybersecurity and Infrastructure Security Agency (CISA) publicou diretrizes obrigatórias exigindo controles específicos para fornecedores terceirizados após incidentes envolvendo MSPs.

Os frameworks de conformidade também estão evoluindo:

  • A atualização ISO 27001:2022 inclui requisitos reforçados para segurança em relacionamentos com fornecedores.
  • Auditorias SOC 2 Type II passaram a analisar com maior rigor práticas de gerenciamento de credenciais em organizações de serviços.

Por que as ferramentas tradicionais de segurança não resolvem o problema

Soluções convencionais de gerenciamento de identidade e acesso enfrentam dificuldades com os requisitos exclusivos do modelo MSP.

Limitações do IAM

Sistemas de Identity and Access Management (IAM) normalmente assumem que usuários pertencem a uma única organização com funções claramente definidas.

Porém, técnicos MSP precisam acessar múltiplos ambientes de clientes, cada um com:

  • Diferentes políticas de segurança
  • Diferentes níveis de permissão
  • Diferentes requisitos regulatórios

O modelo tradicional de IAM não foi projetado para esse cenário.

Limitações do PAM

Soluções de Privileged Access Management (PAM) tentam controlar acessos privilegiados, mas frequentemente criam atrito operacional.

Quando técnicos precisam de acesso rápido para resolver emergências de clientes, fluxos complexos de aprovação e gravação de sessões podem entrar em conflito com:

  • SLAs contratados
  • Necessidade de resposta imediata
  • Continuidade operacional

Limitações do SSO e MFA

Soluções de Single Sign-On (SSO) reduzem a quantidade de senhas, mas criam pontos únicos de falha.

O ataque Kaseya demonstrou como o comprometimento de uma credencial centralizada pode permitir acesso amplo a múltiplos sistemas conectados.

A Autenticação Multifator (MFA) adiciona camadas de proteção, mas continua vulnerável a:

  • Phishing avançado
  • Engenharia social
  • Ataques direcionados contra ambientes MSP

Limitações do Zero Trust

Arquiteturas Zero Trust prometem controle abrangente de acesso, mas enfrentam dificuldades com a necessidade inerente dos MSPs de acessar ambientes externos.

Implementações tradicionais de Zero Trust assumem:

  • Limites claros de rede
  • Políticas consistentes
  • Controle centralizado

Características que nem sempre existem em operações MSP.

Todas essas tecnologias compartilham uma limitação fundamental:

Elas assumem que usuários devem possuir e controlar suas próprias credenciais.

Essa premissa falha em ambientes MSP, onde o comprometimento de uma única credencial pode se transformar em uma falha de cadeia de suprimentos que afeta milhares de organizações.

Separando identidade do controle de acesso

A solução estrutural exige abandonar a ideia de que usuários precisam possuir suas próprias credenciais.

Sistemas avançados de controle de credenciais geram, criptografam e distribuem acessos sem que usuários jamais visualizem ou armazenem as credenciais.

Essa separação entre identidade e posse da credencial elimina o principal vetor explorado em ataques contra MSPs.

Nesse modelo:

  • A organização mantém controle total sobre o ciclo de vida das credenciais
  • Técnicos autenticam sua identidade por mecanismos separados
  • Credenciais temporárias e criptografadas são fornecidas automaticamente
  • Usuários nunca possuem os dados reais de autenticação

Esse modelo torna ataques tradicionais de phishing ineficazes, pois usuários não podem entregar credenciais que nunca tiveram acesso.

Mesmo que atacantes comprometam dispositivos ou roubem tokens de autenticação, eles não conseguem extrair credenciais utilizáveis para movimentação lateral entre ambientes de clientes.

O futuro da segurança para MSPs

O ataque à Kaseya revelou que a segurança de MSPs não pode ser resolvida apenas adicionando novas camadas de autenticação sobre modelos de credenciais estruturalmente vulneráveis.

À medida que a pressão regulatória aumenta e os ataques cibernéticos se tornam mais sofisticados, provedores de serviços gerenciados precisam implementar soluções estruturais que eliminem as causas principais, e não apenas tratem os sintomas.

A mudança para o controle organizacional de credenciais representa uma transformação fundamental na filosofia de gerenciamento de acesso.

Em vez de tentar proteger credenciais nas mãos dos usuários, as organizações devem recuperar o controle direto sobre os mecanismos de acesso.

Para MSPs, a questão não é mais se devem implementar controles de credenciais mais fortes, mas com que rapidez podem implantar soluções que separem identidade de posse de credenciais.

O próximo grande ataque de cadeia de suprimentos pode já estar em andamento.

MyCena
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.