Netskope, che si occupa di Secure Access Service Edge (SASE), ha rilasciato una nuova ricerca che racconta come i cybercriminali usino vecchi e nuovi modi per eludere le misure di difesa delle aziende e portare a compimento le loro attività di intrusione.

Nel suo ultimo Cloud & Threat Report: Global Cloud and Web Malware Trends, Netskope ha posto un’evidenza su tutti: in media 5 utenti aziendali su 1.000 hanno tentato di scaricare malware nel primo trimestre del 2023. Minacce che, per il 72%, rappresentano software malevoli di nuova fattura. Nel report, Netskope ha scoperto che quasi il 10% di tutti i download di malware nel primo trimestre è provenuto dai motori di ricerca. Questi download derivano principalmente da data void malevoli, ovvero combinazioni di termini di ricerca che hanno pochissimi risultati, con la conseguenza che qualsiasi contenuto corrispondente a tali termini ha una probabilità elevata di apparire molto in alto nei risultati di ricerca. 

La tecnica del social engineering è una delle tante che gli attaccanti stanno adottando in maniera crescente. Il social engineering nel suo complesso continua a prevalere come tecnica di infiltrazione di malware con gli attaccanti che abusano non solo dei motori di ricerca, ma anche di e-mail, applicazioni di collaborazione e applicazioni di chat per ingannare le loro vittime. Tra i primi due tipi principali di malware, i trojan hanno rappresentato il 60% dei download di malware nel primo trimestre e i download di phishing il 13%. 

LEGGI ANCHE Social engineering, così i criminali informatici usano la “fiducia” come un’arma

In aggiunta, per la prima volta nel suo Cloud and Threat Report trimestrale, Netskope ha analizzato i canali di comunicazione degli attaccanti. I ricercatori hanno scoperto che gli attaccanti, per eludere il rilevamento in modo consistente, hanno utilizzato HTTP e HTTPS sulle porte 80 e 443 come canale di comunicazione principale. Infatti, dei nuovi eseguibili malware analizzati da Netskope che hanno comunicato con host esterni, l’85% lo ha fatto utilizzando la porta 80 (HTTP) e il 67% utilizzando la porta 443 (HTTPS). Questo approccio consente di passare facilmente inosservati e di confondersi con l’abbondanza di traffico HTTP e HTTPS già presente sulla rete. Inoltre, per eludere i controlli di sicurezza basati su DNS, alcuni campioni di malware aggirano le richieste DNS, raggiungendo direttamente gli host remoti utilizzando i loro indirizzi IP. Nel primo trimestre del 2023, la maggior parte dei campioni malware che hanno avviato comunicazioni esterne lo ha fatto utilizzando una combinazione di indirizzi IP e nomi host, con il 61% che ha comunicato direttamente con almeno un indirizzo IP e il 91% che ha comunicato con almeno un host tramite una richiesta DNS. 

Report Netskope, le parole degli esperti

Come spiega Ray Canzanese, Threat Research Director, Netskope Threat Labs: “Il compito principale degli attaccanti, è quello di trovare nuovi modi per coprire le proprie tracce, mentre le aziende investono sempre più risorse nel rilevamento delle minacce, purtroppo questi risultati indicano quanto in realtà sia ancora facile per gli attaccanti agire in piena luce. Poiché gli attaccanti si rivolgono verso i servizi cloud ampiamente utilizzati nelle aziende e sfruttano i canali popolari per comunicare, un approccio trasversale alla mitigazione del rischio, è più necessario che mai”. 

Stando a Netskope, il 55% dei download di malware HTTP/HTTPS è provenuto da applicazioni cloud, rispetto al 35% dello stesso periodo dell’anno scorso. Il motivo principale dell’aumento è la crescita dei download di malware dalle applicazioni cloud aziendali più popolari, con Microsoft OneDrive che con ampio margine risulta l’applicazione aziendale più diffusa. Anche il numero di applicazioni con download di malware ha continuato ad aumentare, raggiungendo un massimo di 261 applicazioni distinte nel primo trimestre del 2023. Solo una piccola parte del totale dei download di malware dal web è avvenuta tramite categorie web tradizionalmente considerate rischiose. I download sono avvenuti su un’ampia varietà di siti, con i server di contenuti (CDN) responsabili della fetta più grande, pari al 7,7%.

Per gli analisti, visto che le aziende lavorano per difendersi dall’assalto del malware, è necessaria la collaborazione interfunzionale tra più team, tra cui quelli di networking, security operation, incident response, il management e persino contributori individuali.

 

Netskope Cloud & Threat Report, il social engineering va ancora di moda ultima modifica: 2023-05-04T14:55:00+02:00 da Antonino Caffo

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui