W lipcu 2023 r. 57% wszystkich pobrań złośliwego oprogramowania pochodziło z popularnych aplikacji w chmurze. Jednocześnie całkowita liczba aplikacji w chmurze, z których pobrano złośliwe oprogramowanie, wzrosła do 167, co wskazuje, że cyberprzestępcy nadal docierają do swoich ofiar za pośrednictwem coraz bardziej zróżnicowanego zestawu aplikacji w chmurze wynika z półrocznego raportu firmy Netskope.
Cyberprzestępcy próbują pozostać niezauważeni, dostarczając szkodliwe pliki lub wirusy za pośrednictwem popularnych aplikacji w chmurze. Taka metoda dostarczania złośliwego oprogramowania w celu kradzieży danych umożliwia atakującym uniknięcie kontroli bezpieczeństwa, które opierają się głównie na blokowaniu wybranych domen i filtrowaniu adresów URL. Jakich aplikacji unikać i jak ustrzec się przed kradzieżą danych analizuje Ray Canzanese z Threat Labs firmy Netskope
Cyberprzestępcy osiągają największe sukcesy w docieraniu do pracowników firm lub przedsiębiorstw, gdy ci nadużywają aplikacji chmurowych w czasie przesyłania lub odbierania czasami bardzo ważnych danych. Microsoft OneDrive, najpopularniejsza aplikacja chmurowa dla przedsiębiorstw, utrzymuje się na pierwszym miejscu pod względem największej liczby pobrań złośliwego oprogramowania w chmurze od ponad sześciu miesięcy. Chociaż odsetek pobrań z OneDrive spadł czwarty miesiąc z rzędu, nadal to rozwiązanie pozostaje na niechlubnym pierwszym miejscu. Na drugim miejscu podium trzeci miesiąc z rzędu jest Squarespace, darmowa usługa hostingowa, ponieważ różne rodziny złośliwego oprogramowania są nadal hostowane na stronach tej firmy. Inne najpopularniejsze aplikacje do pobierania złośliwego oprogramowania obejmują bezpłatne usługi hostingowe (Weebly), bezpłatne witryny hostingowe oprogramowania (GitHub), aplikacje do współpracy (SharePoint), aplikacje do przechowywania w chmurze (Azure Blob Storage, Google Drive, Amazon S3) i aplikacje poczty internetowej (Outlook.com). DocPlayer, darmowa aplikacja do udostępniania dokumentów, znalazła się w pierwszej dziesiątce czwarty miesiąc z rzędu, ponieważ złośliwe pliki PDF zyskały na popularności. Łącznie pierwsza dziesiątka odpowiadała za dwie trzecie wszystkich pobrań złośliwego oprogramowania w chmurze, a pozostała jedna trzecia rozłożyła się na 157 innych aplikacji w chmurze.
Najważniejsze typy plików oraz rodziny złośliwego oprogramowania
Nadal atakujący wykorzystują różne rodzaje plików. Przenośne pliki wykonywalne Microsoft Windows (EXE/DLL) po raz pierwszy od pięciu miesięcy wypadły z czołówki, spadając na trzecie miejsce, za plikami PDF i plikami archiwum ZIP. Złośliwe pliki PDF zyskiwały na popularności w ciągu ostatnich sześciu miesięcy, ponieważ atakujący wykorzystują je na różne sposoby, w tym jako przynętę phishingową i jako narzędzia do nakłaniania użytkowników do pobierania trojanów. Archiwa ZIP są powszechnie używane do ukrywania trojanów obok nieszkodliwej zawartości, w celu uniknięcia wykrycia.
Cyberprzestępcy nieustannie tworzą nowe rodziny złośliwego oprogramowania i nowe warianty istniejących rodzin, próbując ominąć rozwiązania bezpieczeństwa lub zaktualizować możliwości swojego złośliwego oprogramowania. W lipcu 2023 r. 71% wszystkich pobrań złośliwego oprogramowania wykrytych przez Netskope stanowiły nowe rodziny lub nowe warianty, których nie zaobserwowano w ciągu ostatnich sześciu miesięcy. Pod względem ilości Netskope blokuje więcej trojanów niż jakikolwiek inny typ złośliwego oprogramowania. Są one powszechnie wykorzystywane przez atakujących do zdobycia przyczółku i dostarczania innych rodzajów złośliwego oprogramowania, takich jak infostealery, trojany zdalnego dostępu (RAT), backdoory i ransomware. Inne najpopularniejsze typy złośliwego oprogramowania obejmują przynęty phishingowe (zazwyczaj pliki PDF zaprojektowane w celu zwabienia ofiar do oszustw phishingowych), backdoory (które zapewniają potajemny zdalny dostęp), wirusy (które mogą się rozprzestrzeniać) i exploity oparte na plikach. Względny rozkład typów złośliwego oprogramowania zmienia się bardzo nieznacznie z miesiąca na miesiąc.
Co zrobić, żeby uniknąć kradzieży danych?
Cyberprzestępcy zawsze starali się unikać wykrycia podczas dostarczania złośliwego oprogramowania. Dwie strategie, z których atakujący coraz częściej korzystali w ciągu ostatnich sześciu miesięcy, to dostarczanie złośliwego oprogramowania w czasie, gdy pracownicy nadużywają rozwiązań chmurowych oraz pakowanie złośliwego oprogramowania w pliki archiwalne. Netskope Threat Labs zaleca przegląd stanu bezpieczeństwa, aby upewnić się, że firmy są odpowiednio chronione przed oboma tymi trendami. Należy sprawdzać wszystkie pobrania typu HTTP i HTTPS, w tym całego ruchu internetowego i ruchu w chmurze, aby zapobiec infiltracji sieci przez złośliwe oprogramowanie. Klienci Netskope mogą skonfigurować Netskope NG-SWG z polityką ochrony przed zagrożeniami, która ma zastosowanie do pobierania ze wszystkich kategorii i dotyczy wszystkich typów plików. Warto upewnić się w firmie, że kontrole bezpieczeństwa rekurencyjnie sprawdzają zawartość popularnych plików archiwalnych, takich jak pliki ZIP, pod kątem złośliwej zawartości. Polityka bezpieczeństwa w firmie powinna zmuszać do stosowania rozwiązań, które sprawdzają złośliwe pliki przy użyciu kombinacji analizy statycznej i dynamicznej przed pobraniem. Klienci Netskope Advanced Threat Protection mogą korzystać z polityki Patient Zero Prevention Policy, aby wstrzymać pobieranie plików do czasu ich pełnego sprawdzenia. Należy dodatkowo tak skonfigurować zasady bezpieczeństwa, aby blokować pobieranie z aplikacji, które nie są używane w organizacji, aby zmniejszyć powierzchnię ryzyka tylko do tych aplikacji i instancji, które są niezbędne dla firmy. Szczególną uwagę należy zwrócić na blokowanie pobierania wszystkich ryzykownych typów plików z nowo zarejestrowanych domen i nowo obserwowanych domen.
Stosowanie rożnych rozwiązań z zakresu cyberbezpieczeństwa pozwoli na uniknięcie przypadków kradzieży ważnych danych, które są przesyłane i odbierane przez pracowników firm poprzez rozwiązania chmurowe.
Źródło: Netskope.