Secondo il report Netskope Threat Labs i cyber criminali attaccano le applicazioni cloud più diffuse per diffondere malware nel settore delle telecomunicazioni. Questa tendenza in aumento si inserisce in un contesto di continua crescita dell’adozione di applicazioni cloud nel settore Telco.
Qui gli utenti interagiscono prevalentemente con un sottoinsieme ridotto di applicazioni popolari, tra cui la suite Microsoft. Nello scenario di un aumento generalizzato nell’utilizzo di applicazioni cloud, le telecomunicazioni risultano il settore principale preso di mira dal malware distribuito da applicazioni cloud, con un considerevole margine del 7% rispetto ad altri settori.
1 Adozione delle applicazioni cloud
Gli utenti del settore delle telecomunicazioni caricano e scaricano file nelle applicazioni cloud con una percentuale simile a quella di altri settori. Però tendono a interagire in media con un minor numero di applicazioni cloud.
L’utente medio delle aziende di telecomunicazioni interagisce con 24 applicazioni cloud al mese. Con una forte preferenza per le applicazioni Microsoft. Microsoft OneDrive, Teams e Outlook sono le tre applicazioni più popolari del settore.
Microsoft OneDrive è anche l’applicazione più popolare per il caricamento dei dati, con il 30% degli utenti del settore delle telecomunicazioni che carica dati su OneDrive ogni giorno, il 50% in più rispetto alla media di tutti gli altri settori. Allo stesso modo, Microsoft OneDrive è l’applicazione più popolare per i download nel settore delle telecomunicazioni, con il 35% degli utenti che la usano.
2 Abuso delle applicazioni cloud
La percentuale di download di malware da parte degli utenti del settore delle telecomunicazioni è scesa in linea con la tendenza globale. Toccando il minimo nella seconda metà del 2023 e ricominciando ad aumentare all’inizio del 2024.
Le organizzazioni del settore delle telecomunicazioni sono le principali vittime del malware distribuito da applicazioni cloud, con un considerevole margine del 7% rispetto ad altri settori.
Microsoft OneDrive e GitHub hanno registrato il maggior numero di download di malware, seguiti da Outlook. Le altre applicazioni nella top 10 sono simili a quelle di altri settori con solo piccole differenze, tra cui spiccano il download di malware da SourceForce, il sito Web di sviluppo di software open source, e Google Cloud Storage.
3 Malware e ransomware
Tra le famiglie di malware più diffuse che hanno preso di mira le organizzazioni del settore delle telecomunicazioni figurano il trojan di accesso remoto Remcos, il downloader Guloader e l’infostealer AgentTesla.
Interagire con poche applicazioni, telecomunicazioni e malware
Paolo Passeri, Cyber Intelligence Principal di Netskope
Gli utenti del settore delle telecomunicazioni tendono a interagire con meno applicazioni cloud rispetto ad altri settori verticali. La percentuale di malware distribuito da applicazioni cloud però è di 7 punti superiore rispetto agli altri settori. Questi numeri indicano che i dipendenti di questo settore hanno un atteggiamento più aperto nei confronti dei servizi cloud. Ciò si riflette inevitabilmente in una più ampia esposizione alle minacce. Hanno maggiore familiarità con gli strumenti online come le applicazioni cloud e gli attaccanti tendono a trarre vantaggio di questo aspetto.
Questo atteggiamento aperto nei confronti dei servizi online è visibile anche nella tipologia di famiglie di malware che colpiscono gli utenti delle telecomunicazioni. Rispetto ad altri verticali, questo settore è preso di mira da molte più famiglie di malware. Con un’ampia gamma di minacce che spazia dall’IoT (l’onnipresente Mirai) ai downloader (BanLoad e Guloader), ai trojan bancari (Grandoreiro), agli infostealer (come AgentTesla e Redline) e documenti PDF come esche di phishing.
È interessante notare che molte di queste minacce sono caratterizzate dallo sfruttamento di servizi cloud legittimi e di buona reputazione in diverse fasi della catena di attacco. Ad esempio Guloader scarica il payload cifrato da servizi cloud legittimi come Microsoft OneDrive o Google Drive, Grandoreiro utilizza spesso Microsoft Azure (ma anche AWS e Google) per distribuire il payload finale. Anche i documenti esca PDF che veicolano pagine di phishing sono spesso ospitati su servizi noti di cloud storage per sembrare più realistici e legittimi.
