Nel suo ultimo report di ricerca, Netskope Threat Labs delinea lo scenario della sicurezza informatica in Europa. Da questa ricerca emerge che le organizzazioni europee ricevono un maggior numero di malware provenienti dal cloud rispetto ad altri mercati, nonostante utilizzino in media meno applicazioni cloud rispetto agli utenti a livello globale. L’analisi prende in considerazione dati di utilizzo resi anonimi raccolti da un sottoinsieme europeo di oltre 3.000 clienti Netskope durante il periodo dal primo maggio 2023 al 30 aprile 2024.
I prodotti Microsoft continuano a essere nel mirino dei criminali informatici
Netskope ha osservato che le imprese europee, in generale, mostrano una forte preferenza nell’utilizzo di applicazioni proprietarie Microsoft. Tra queste, le più utilizzate sono OneDrive (52%), SharePoint (33%), Teams (24%) e Outlook (20%). I criminali informatici sfruttano attivamente la popolarità di queste applicazioni, distribuendo il loro malware tramite OneDrive e Sharepoint, il servizio di condivisione file utilizzato da Teams.
Non si salva neppure la piattaforma di condivisione per progetti software Github, che si colloca al terzo posto per download di malware. Gli attaccanti cercano infatti di sfruttare l’attitudine degli sviluppatori a scaricare codice per accelerare il proprio lavoro.
L’utilizzo delle piattaforme di cloud sharing da parte dei criminali informatici non è un caso. Infatti, l’abuso di queste applicazioni consente al malware di non essere intercettato in molte organizzazioni, eludendo i controlli di sicurezza che si basano su strumenti standard, come elenchi di domini bloccati, o quelli che non ispezionano tutto il traffico cloud.
I malware scaricati sono in aumento
Nel 2023 Netskope aveva registrato un calo nel download di malware da parte delle imprese europee, raggiungendo il punto più basso nella seconda metà dell’anno. Tuttavia, da febbraio 2024 si è registrato un aumento costante, e le imprese europee sono attualmente al primo posto nella media globale per i download di malware a partire da maggio 2024.
Tra le famiglie di malware più diffuse in Europa emerge il downloader Guloader, un malware multi-fase. Questo tipo di malware è utilizzato dagli attaccanti durante la prima fase dell’attacco per ottenere l’accesso, e in seguito per distribuire malware come infostealer e trojan in fasi successive dello stesso attacco. Il malware scaricato durante le fasi successive dell’attacco viene distribuito tramite applicazioni di cloud storage, come appunto OneDrive e SharePoint.
Tra le altre famiglie di malware diffuse tra le imprese europee analizzate da Netskope figurano il trojan di accesso remoto Remcos e l’infostealer AgentTesla, che sono spesso utilizzati insieme a Guloader.
Commentando i dati della nuova ricerca, Paolo Passeri, Cyber Intelligence Principal di Netskope, ha dichiarato: “È interessante vedere come sovente gli attaccanti utilizzino Guloader come un malware dropper nella prima fase. Guloader sfrutta servizi cloud popolari come OneDrive e Google Drive per fornire un payload malevolo in una fase successiva dell’attacco. Quest’ultima analisi evidenzia ulteriormente quanto sia fondamentale che le organizzazioni controllino tutto il traffico delle applicazioni cloud, indipendentemente dal fatto che sia diretto verso o da un servizio cloud di buona reputazione. Continuiamo a vedere vendor di sicurezza che consigliano di escludere il traffico di OneDrive dalle policy e questo nostro ultimo report mostra quanto ciò sia invece da evitare.”
Alcuni consigli utili da parte di Netskope Threat Labs
Proteggersi da queste minacce è possibile, basta far affidamento a semplici accorgimenti.
In primis, Netskope consiglia di controllare tutti i download HTTP e HTTPS, inclusi il traffico web e cloud, per prevenire l’infiltrazione di malware nella rete. Un altro accorgimento importante è esaminare attentamente i tipi di file ad alto rischio, come gli eseguibili e gli archivi, utilizzando una combinazione di analisi statica e dinamica prima del download.
Inoltre, Netskope consiglia di configurare policy per bloccare download e caricamenti da applicazioni e istanze non utilizzate nell’organizzazione, riducendo così la superficie di rischio solo alle applicazioni e istanze necessarie e minimizzando il rischio di esposizione dei dati da parte di utenti interni o di attacchi esterni.
Infine, utilizzare un sistema di prevenzione delle intrusioni (IPS) capace di identificare e bloccare pattern di traffico malevolo, e impiegare la tecnologia Remote Browser Isolation (RBI) per fornire protezione aggiuntiva quando si visitano siti web che possono presentare un rischio più elevato aiuta a consolidare la sicurezza degli dell’organizzazione e dei dipendenti quando navigano in rete.
Per ulteriori informazioni, vi invitiamo a consultare il report completo che potete trovare qui.
- Campeglia, Domenico (Autore)
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
🎙️ Intervista a Giampiero Savorelli Managing Director di HP Italy per A ruota libera
👨💻Uno sguardo in anteprima a CyberArk Secure Browser
👀AI ibrida e aperta la visione di Red Hat
🎤La doppia faccia dell'intelligenza artificiale - Intervista a Umberto Pirovano di Palo Alto Networks
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
