etskope Threat Labs opublikowało swój najnowszy raport badawczy, z którego wynika, że europejskie firmy i instytucje obok tych z Australii są najczęściej wybierane przez cyberprzestępców jako cel ataku. Z raportu wynika jednocześnie, że pomimo korzystania średnio z mniejszej liczby aplikacji w chmurze niż użytkownicy na całym świecie, europejskie przedsiębiorstwa i instytucje są odbiorcami większej liczby złośliwego oprogramowania pochodzącego z chmury niż inne rynki. Wieloetapowe systemy złośliwego oprogramowania, takie jak Guloader, są najbardziej rozpowszechnione w Europie, ponieważ cyberprzestępcy starają się wykorzystać najpopularniejsze usługi w chmurze. Liczba pobrań złośliwego oprogramowania w Europie znów rośnie po chwilowym spadku w 2023 r.
Zasadniczo liczba pobrań złośliwego oprogramowania w Europie spadła w ciągu ostatniego roku, osiągając najniższy poziom w drugiej połowie 2023 roku. Jednak od lutego 2024 r. odnotowano stały wzrost, a od maja 2024 r. Europa znajduje się na czele globalnej średniej pobrań złośliwego oprogramowania. Niewłaściwe korzystanie z aplikacji w chmurze pozwala złośliwemu oprogramowaniu pozostać niezauważonym w wielu organizacjach, unikając kontroli bezpieczeństwa opartych na standardowych narzędziach, takich jak listy blokowania domen, lub takich, które nie sprawdzają całego ruchu w chmurze.
„Musimy zdawać sobie sprawę, że obecnie w Europie trwa nie tylko wojna za naszą wschodnią granicą ale także w cyfrowym świecie. Cyberprzestępcy szukają ofiar nie tylko wśród bogatych firm i instytucji, ale przede wszystkim tych, które nie dbają o zabezpieczenia swojej informatycznej infrastruktury. To ataki, których głównym celem jest kradzież cennych danych , blokada ważnych systemów informatycznych czy szerzenie nieprawdziwych informacji. Cyberprzestępcy atakują nie tylko dla zysku, ale także motywowani politycznie chcą wpłynąć na przebieg ważnych wydarzeń. Coraz częściej cyberataki są przeprowadzane poprzez aplikacje z chmury, z których korzysta każdy. Stosowane złośliwe oprogramowanie cały czas ewoluuje tym bardziej warto więc w firmach oraz instytucjach stosować zabezpieczenia, które mogą nas ochronić online, automatycznie i 24 godziny na dobę"
– komentuje Michał Borowiecki, dyr. Netskope na Polskę i Europę Wschodnią.
Europa wykazuje zdecydowaną preferencję dla aplikacji Microsoft, przy czym Microsoft OneDrive (52%), SharePoint (33%), Teams (24%) i Outlook (20%) to cztery najczęściej używane aplikacje chmurowe w regionie. Cyberprzestępcy zdają sobie sprawę z tej popularności i w rezultacie OneDrive i SharePoint (również usługa udostępniania plików używana przez Teams) są głównymi źródłami pobierania złośliwego oprogramowania w Europie. Liczba pobrań złośliwego oprogramowania z Microsoft OneDrive odzwierciedla połączenie strategii napastników - nadużywanie OneDrive do dystrybucji złośliwego oprogramowania - i zachowania użytkowników - ich skłonność do klikania linków i pobierania złośliwego oprogramowania ze względu na obeznanie z aplikacją. Github znalazł się na trzecim miejscu pod względem liczby pobrań złośliwego oprogramowania, ponieważ atakujący chcieli wykorzystać programistów pobierających kody w celu przyspieszenia swojej pracy.
Wśród najbardziej rozpowszechnionych grup złośliwego oprogramowania atakujących ofiary w Europie był downloader Guloader, trojan pierwszego stopnia wykorzystywany przez atakujących do uzyskania uprawnień przed dostarczeniem dalszego złośliwego oprogramowania, w tym infostealerów i trojanów. Złośliwe oprogramowanie drugiego stopnia jest często przechowywane w zaufanych aplikacjach do przechowywania danych w chmurze, takich jak OneDrive i SharePoint, ponieważ niczego niepodejrzewający użytkownicy mają zaufanie do tych znanych aplikacji. Trojan zdalnego dostępu Remcos i infostealer AgentTesla również znalazły się w czołówce najpopularniejszych grup złośliwego oprogramowania w Europie i są często wykorzystywane w połączeniu z Guloaderem.
„Interesujące jest to, że cyberprzestępcy używają Guloadera jako pierwszego etapu rozprzestrzeniania złośliwego oprogramowania. Guloader wykorzystuje popularne usługi w chmurze, takie jak OneDrive i Google Drive, aby dostarczyć złośliwy program na późniejszym etapie ataku. Ta najnowsza nasza analiza pokazuje, jak ważne jest, aby organizacje sprawdzały cały ruch aplikacji w chmurze - niezależnie od tego, czy jest on kierowany do lub z renomowanej usługi w chmurze. W dalszym ciągu obserwujemy, że dostawcy zabezpieczeń zalecają wyłączenie ruchu OneDrive z zakresu polityki bezpieczeństwa, a ten raport pokazuje, jak bardzo jest to nierozsądne”
– komentuje Paolo Passeri, dyrektor Cyber Intelligence w Netskope,
Netskope Threat Labs zaleca, aby europejskie przedsiębiorstwa dokonały rewizji stanu swoich zabezpieczeń i wprowadziły kilka najlepszych praktyk w celu przeciwdziałania potencjalnym zagrożeniom:
- Kontrola wszystkich pobieranych plików HTTP i HTTPS, w tym całego ruchu internetowego i w chmurze, aby zapobiec infiltracji sieci przez złośliwe oprogramowanie.
- Upewnienie się, że typy plików wysokiego ryzyka, takie jak pliki wykonywalne i archiwa, są dokładnie sprawdzane przy użyciu kombinacji analizy statycznej i dynamicznej przed pobraniem.
- Konfiguracja polityk w celu blokowania pobierania i wysyłania z aplikacji i instancji, które nie są używane w organizacji, aby zmniejszyć obszar ryzyka tylko do tych aplikacji oraz instancji, które są niezbędne dla firmy i zminimalizować ryzyko przypadkowego lub celowego narażenia danych przez osoby z wewnątrz lub wykorzystania przez atakujących.
- Korzystanie z systemu zapobiegania włamaniom (IPS), który może identyfikować i blokować złośliwe wzorce ruchu, takie jak ruch poleceń i kontroli związany z popularnym złośliwym oprogramowaniem.
- Blokowanie tego typu komunikacji może zapobiec dalszym szkodom, ograniczając zdolność atakującego do wykonywania dodatkowych działań.
- Korzystanie z technologii Remote Browser Isolation (RBI) w celu zapewnienia dodatkowej ochrony, gdy istnieje potrzeba odwiedzenia stron internetowych, które należą do kategorii, które mogą stanowić większe ryzyko, takich jak nowo obserwowane i nowo zarejestrowane domeny.
