Luca Profico, Senior Solution Engineer di Netskope, mette in evidenza i punti salienti del recente studio Threat Labs Report legato al mondo del Manufacturing.
L’analisi dei Netskope Threat Labs evidenzia un segmento diverso ogni mese e mira a fornire informazioni strategiche e fruibili sulle minacce attive contro gli utenti, in ogni segmento. Per il mese di settembre il tema centrale ha riguardato il settore manufacturing.
Gli utenti aziendali di questo segmento interagiscono regolarmente con una media di 24 app cloud ogni mese. Sebbene le app più utilizzate includano le stesse app aziendali più diffuse in tutto il mondo, abbiamo osservato l’aumento dell’utilizzo dell’intelligenza artificiale negli ambienti aziendali tramite app come Microsoft Copilot.
Nel manufacturing, OneDrive è la principale app usata per la distribuzione di malware, con un utilizzo doppio rispetto, rispettivamente, al secondo e terzo posto di Sharepoint e GitHub. Tra le famiglie di malware più diffuse: il Trojan RaspberryRobin e il Downloader Guloader.
Le app cloud sono onnipresenti nelle aziende e la loro adozione si sviluppa seguendo i trend più popolari per il settore manifatturiero, anche se non mancano alcune differenze degne di nota. Sebbene Microsoft OneDrive sia l’app cloud più popolare a livello globale, osserviamo comunque una preferenza costante per molte altre app, ad esempio Google Drive, Microsoft Teams e SharePoint.
L’interesse generale per l’intelligenza artificiale è evidente, Microsoft Copilot non solo compare nella top 10 del settore manifatturiero, ma anche nella top 5 globale.
L’utilizzo di così tante app cloud, in particolare con funzioni sovrapposte e combinazioni di app aziendali e personali, sottolinea la necessità di adeguate politiche per garantire la gestione sicura dei dati sensibili.
Poiché gli attaccanti distribuiscono malware attraverso molti canali diversi, le organizzazioni del settore manifatturiero devono assicurarsi di disporre di controlli di sicurezza efficaci per bloccare i download di malware. Circa la metà di tutti i download globali di malware HTTP/HTTPS proviene da app cloud popolari, mentre l’altra metà proviene da diversi siti Web.
La tendenza che si sta generando è fortemente correlata al successo della app stesse: quelle più popolari sono anche tra le più compromesse. Gli attaccanti sfruttano perciò software altamente conosciuti e scaricati per tentare attacchi alla security degli utenti e delle imprese.
Quali sono le minacce principali per il settore manifatturiero negli ultimi 12 mesi?
Le minacce rilevate includono Downloader.Guloader, un downloader noto per l’erogazione di Trojan di accesso remoto (RAT) e infostealer, come AgentTesla, Formbook e Remcos. Infostealer.AgentTesla è invece un file .RAT basato su .NET e capace di effettuare il furto delle password dei browser, l’acquisizione di sequenze di tasti, appunti, ecc. Phishing.PhishingX è un file PDF dannoso utilizzato come parte di una campagna di phishing per reindirizzare le vittime a una pagina di phishing. E ancora, Trojan.Grandoreiro è un Trojan bancario LATAM creato con l’obiettivo di rubare informazioni bancarie sensibili, prendendo di mira utenti in Brasile, Messico, Spagna e Perù. Trojan.RaspberryRobin è ampiamente utilizzato per diffondere altre famiglie di malware, tra cui IcedID e Clop, ed è stato diffuso in 7z, LNK, MSI e altri formati.
Come proteggersi?
Il Threat Labs Report legato al mondo del Manufacturing sottolinea l’aumento dell’adozione del cloud, incluso l’aumento dei dati caricati e scaricati da varie app cloud. Evidenzia, inoltre, una tendenza crescente degli aggressori ad abusare di varie app cloud, in particolare le app aziendali più diffuse, per distribuire malware (principalmente trojan) alle loro vittime. Netskope Threat Labs raccomanda alle organizzazioni del settore manifatturiero di rivedere il proprio livello di sicurezza per assicurarsi di essere adeguatamente protette.
È opportuno abilitare sistemi per l’ispezione di tutti i download HTTP e HTTPS, incluso tutto il traffico Web e cloud, per impedire al malware di infiltrarsi nella rete. I clienti Netskope possono configurare il proprio Netskope NG-SWG con una policy di protezione dalle minacce che si applica ai download.
Allo stesso modo è essenziale che i file ad alto rischio siano ispezionati accuratamente (eseguibili e archivi), utilizzando una combinazione di analisi statica e dinamica; il tutto, prima di essere scaricati. I clienti di Netskope Advanced Threat Protection possono utilizzare una politica di prevenzione zero trust per bloccare i download fino a quando non sono stati completamente ispezionati. L’azienda suggerisce poi la configurazione di criteri per bloccare i download da app e istanze non usate nell’organizzazione, oltre a un sistema di prevenzione delle intrusioni (IPS) in grado di identificare e bloccare i modelli di traffico dannosi.
L’utilizzo della tecnologia RBI (Remote Browser Isolation) consente una protezione aggiuntiva quando è necessario visitare siti Web che rientrano in categorie che possono presentare un rischio più elevato.
