Imprese europee prese di mira da attacchi malware multi-fase

La protezione dei dati nell’era del multirischio

Il nuovo report sulle minacce di Netskope si concentra su 12 mesi di analisi del mercato europeo

Netskope Threat Labs ha rilasciato il suo ultimo report di ricerca focalizzato sul mercato europeo. Dalla nuova ricerca emerge che le imprese europee ricevono un maggior numero di malware provenienti dal cloud rispetto ad altri mercati, nonostante utilizzino in media meno applicazioni cloud rispetto agli utenti a livello globale. Le famiglie di malware multi-fase come Guloader sono quelle più diffuse in Europa poiché gli attaccanti cercano di sfruttare per scopi malevoli i servizi cloud più popolari.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Di seguito i principali dati emersi dall’analisi degli ultimi 12 mesi (1 maggio 2023 – 30 aprile 2024):

  • La popolarità di Microsoft attira l’attenzione degli attaccanti. L’Europa mostra una forte preferenza nell’utilizzo di applicazioni Microsoft. Le quattro applicazioni cloud più usate quotidianamente in Europa sono Microsoft OneDrive (52%), SharePoint (33%), Teams (24%) e Outlook (20%). Gli attaccanti sono consapevoli di questa popolarità e, di conseguenza, OneDrive e Sharepoint (che costituisce anche il servizio di condivisione file utilizzato da Teams) risultano le principali fonti di download di malware in Europa.
    • Il numero di download di malware da Microsoft OneDrive riflette la combinazione delle tattiche degli avversari, ovvero l’abuso di OneDrive per distribuire malware, e del comportamento delle vittime, ovvero l’elevata probabilità che gli utenti facciano clic sui collegamenti e scarichino il malware a causa della loro familiarità con questa applicazione.
    • Github è risultato al terzo posto per download di malware poiché gli attaccanti hanno cercato di sfruttare l’attitudine degli sviluppatori a scaricare codice per accelerare il proprio lavoro.
  • Il malware multi-fase sfrutta I servizi cloud. Tra le famiglie di malware più diffuse in Europa emerge il downloader Guloader, un malware utilizzato dagli attaccanti durante la prima fase dell’attacco per ottenere l’accesso, prima di distribuire malware come infostealer e trojan in fasi successive dello stesso attacco.
    • Il malware scaricato nelle fasi successive viene spesso distribuito da applicazioni di cloud storage ritenute fidate dagli utenti, come OneDrive, SharePoint, e Google Drive, proprio perché le vittime ignare ripongono fiducia in queste applicazioni familiari.
    • Anche il trojan di accesso remoto Remcos e l’infostealer AgentTesla figurano tra le principali famiglie di malware in Europa e vengono spesso utilizzati insieme a Guloader.
  • I download di malware sono in aumento ora in Europa dopo il calo registrato nel 2023. Nel complesso, i download di malware in Europa sono diminuiti nell’ultimo anno, raggiungendo il punto più basso nella seconda metà del 2023. Tuttavia, da febbraio 2024 si è registrato un aumento costante, con l’Europa attualmente in testa alla media globale per i download di malware a partire da maggio 2024.
    • L’abuso delle applicazioni cloud consente al malware di non essere intercettato in molte organizzazioni, eludendo i controlli di sicurezza che si basano su strumenti standard, come elenchi di domini bloccati, o quelli che non ispezionano tutto il traffico cloud.
Leggi anche:  Rafforzare la cybersecurity nel settore sanitario è sempre più essenziale

Commentando i dati della nuova ricerca, Paolo Passeri, Cyber Intelligence Principal di Netskope, ha dichiarato: “È interessante vedere come sovente gli attaccanti utilizzino Guloader come un malware dropper nella prima fase. Guloader sfrutta servizi cloud popolari come OneDrive e Google Drive per fornire un payload malevolo in una fase successiva dell’attacco. Quest’ultima analisi evidenzia ulteriormente quanto sia fondamentale che le organizzazioni controllino tutto il traffico delle applicazioni cloud, indipendentemente dal fatto che sia diretto verso o da un servizio cloud di buona reputazione. Continuiamo a vedere vendor di sicurezza che consigliano di escludere il traffico di OneDrive dalle policy e questo nostro ultimo report mostra quanto ciò sia invece da evitare.”

Netskope Threat Labs suggerisce alle aziende europee di rivedere il proprio livello di sicurezza e fornisce alcune raccomandazioni sulle migliori pratiche per contrastare queste minacce:

  • Ispezionare tutti i download HTTP e HTTPS, incluso tutto il traffico web e cloud, per impedire l’infiltrazione di malware nella rete.
  • Assicurarsi che i tipi di file ad alto rischio, come gli eseguibili e gli archivi, vengano ispezionati attentamente utilizzando una combinazione di analisi statica e dinamica prima di essere scaricati.
  • Configurare policy per bloccare download e caricamenti da applicazioni e istanze che non vengono utilizzate nell’organizzazione per ridurre la superficie di rischio solo alle applicazioni e istanze necessarie per l’azienda, e ridurre al minimo il rischio di esposizione accidentale o intenzionale dei dati da parte di utenti interni, o anche di abusi dagli attaccanti.
  • Utilizzare un sistema di prevenzione delle intrusioni (IPS) in grado di identificare e bloccare pattern di traffico malevolo, come il traffico di comando e controllo associato al malware più diffuso. Bloccare questo tipo di comunicazione può prevenire ulteriori danni limitando la capacità dell’attaccante di eseguire azioni ulteriori.
  • Utilizzare la tecnologia Remote Browser Isolation (RBI) per fornire protezione aggiuntiva quando è necessario visitare siti Web che rientrano in categorie che possono presentare un rischio più elevato, come i domini appena osservati e quelli appena registrati.
Leggi anche:  La valutazione del rischio