Nella ricerca di Netskope Threat Labs focalizzata sull’Europa, si sottolinea che le aziende sono vittime di un numero di malware multi-fase più alto rispetto ad altri mercati. Infatti le famiglie di malware multi-fase come Guloader sono quelle più diffuse in Europa poiché gli attaccanti cercano di sfruttare per scopi malevoli i servizi cloud più popolari. La ricerca si basa su dati di utilizzo resi anonimi raccolti da un sottoinsieme europeo di oltre 3.000 clienti Netskope, i quali hanno dato autorizzazione preventiva per analizzare i loro dati
Cosa è emerso dall’analisi da maggio 2023 ad aprile 2024
La popolarità di Microsoft attira l’attenzione degli attaccanti. L’Europa mostra una preferenza nell’utilizzo di applicazioni Microsoft. Le 4 applicazioni cloud più usate quotidianamente in Europa sono Microsoft OneDrive (52%), SharePoint (33%), Teams (24%) e Outlook (20%). Gli attaccanti sono consapevoli di questa popolarità e, di conseguenza, OneDrive e Sharepoint (che costituisce anche il servizio di condivisione file utilizzato da Teams) risultano le principali fonti di download di malware in Europa.
Github al terzo posto per download di malware
Il numero di download di malware da Microsoft OneDrive riflette la combinazione delle tattiche degli avversari – l’abuso di OneDrive per distribuire malware – e del comportamento delle vittime. Ovvero l’elevata probabilità che gli utenti facciano clic sui collegamenti e scarichino il malware a causa della loro familiarità con questa applicazione. Github è risultato al terzo posto per download di malware poiché gli attaccanti hanno cercato di sfruttare l’attitudine degli sviluppatori a scaricare codice per accelerare il proprio lavoro.
Un eccesso di fiducia
Il malware multi-fase sfrutta I servizi cloud. Tra le famiglie di malware più diffuse in Europa emerge il downloader Guloader. È utilizzato dagli attaccanti durante la prima fase dell’attacco per ottenere l’accesso, prima di distribuire malware come infostealer e trojan in fasi successive dello stesso attacco. Il malware scaricato nelle fasi successive viene spesso distribuito da applicazioni di cloud storage ritenute fidate dagli utenti, come OneDrive, SharePoint, e Google Drive. Proprio perché le vittime ignare ripongono fiducia in queste applicazioni familiari. Anche il trojan di accesso remoto Remcos e l’infostealer AgentTesla figurano tra le principali famiglie di malware in Europa e vengono spesso utilizzati insieme a Guloader.
Gli attacchi malware multi-fase
I download di malware sono in aumento ora in Europa dopo il calo registrato nel 2023. Nel complesso, i download di malware in Europa sono diminuiti nell’ultimo anno, raggiungendo il punto più basso nella seconda metà del 2023. Tuttavia, da febbraio 2024 si è registrato un aumento costante, con l’Europa attualmente in testa alla media globale per i download di malware a partire da maggio 2024. L’abuso delle applicazioni cloud consente al malware di non essere intercettato in molte organizzazioni. Questo avviene eludendo i controlli di sicurezza che si basano su strumenti standard, come elenchi di domini bloccati, o quelli che non ispezionano tutto il traffico cloud.
Comportamenti non corretti
Paolo Passeri, Cyber Intelligence Principal di Netskope È interessante vedere come sovente gli attaccanti utilizzino Guloader come un malware dropper nella prima fase. Guloader sfrutta servizi cloud popolari come OneDrive e Google Drive. Questo per fornire un payload malevolo in una fase successiva dell’attacco. Quest’ultima analisi evidenzia ulteriormente quanto sia fondamentale che le organizzazioni controllino tutto il traffico delle applicazioni cloud. Indipendentemente dal fatto che sia diretto verso o da un servizio cloud di buona reputazione. Continuiamo a vedere vendor di sicurezza che consigliano di escludere il traffico di OneDrive dalle policy e questo nostro ultimo report mostra quanto ciò sia invece da evitare.
Come ridurre i rischi
Netskope Threat Labs suggerisce alle aziende europee di rivedere il proprio livello di sicurezza. Per questo fornisce alcune raccomandazioni sulle migliori pratiche per contrastare queste minacce:
ispezionare tutti i download HTTP e HTTPS, incluso tutto il traffico web e cloud, per impedire l’infiltrazione di malware nella rete.
Assicurarsi che i tipi di file ad alto rischio, come gli eseguibili e gli archivi, vengano ispezionati utilizzando una combinazione di analisi statica e dinamica prima di essere scaricati.
Configurarepolicy per bloccare download e caricamenti da applicazioni e istanze che non vengono utilizzate nell’organizzazione. Questo permette di ridurre la superficie di rischio solo alle applicazioni e istanze necessarie per l’azienda. Inoltre riduce al minimo il rischio di esposizione accidentale o intenzionale dei dati da parte di utenti interni, o anche di abusi dagli attaccanti.
In Europa gli attacchi malware multi-fase sono in crescita
Utilizzare un sistema di prevenzione delle intrusioni (IPS) in grado di identificare e bloccare pattern di traffico malevolo. come il traffico di comando e controllo associato al malware più diffuso. Bloccare questo tipo di comunicazione può prevenire ulteriori danni limitando la capacità dell’attaccante di eseguire azioni ulteriori.
Utilizzare la tecnologia Remote Browser Isolation (RBI) per fornire protezione aggiuntiva. Questo in particolare quando è necessario visitare siti web che rientrano in categorie che possono presentare un rischio più elevato. Ad esempio come i domini appena osservati e quelli appena registrati.
