“Prosegue nel 2022 lo sfruttamento dei servizi cloud” Contributo di ​​Paolo Passeri Cyber Intelligence Principal, Netskope

Secondo l’ultimo Cloud and Threat Report di Netskope, nel corso del 2021 gli attaccanti hanno continuato a sfruttare i servizi cloud per distribuire malware e altri contenuti malevoli. Questa tendenza è emersa nel corso del 2020, alimentata dalla pandemia e dall’improvvisa e diffusa adozione dei servizi cloud da parte della forza lavoro distribuita, ed è cresciuta in modo costante nel corso dello stesso anno, con una percentuale di malware distribuito da applicazioni cloud (vs web) che è balzata dal 46% in Q1 al 65% in Q4. E la stessa tendenza è proseguita nel corso del 2021, con valori oscillanti tra il 66% e il 67% nei diversi trimestri dell’ultimo anno. 

Analizzando le applicazioni cloud più sfruttate dai malintenzionati, non sorprende più di tanto il fatto che i servizi di cloud storage risultino al comando: nel corso del 2021, il 69% dei contenuti malevoli è stato distribuito da un’applicazione di cloud storage, il 9% da applicazioni di collaboration e il 7% da strumenti di sviluppo. Questi numeri danno un’idea di come la situazione attuale stia rimodellando il panorama delle minacce: il 70% dei dipendenti lavora in remoto, di conseguenza gli strumenti di cloud storage e collaboration sono fondamentali per connettere i team distribuiti. Nel contempo gli utenti stanno acquisendo sempre maggiore fiducia e confidenza in queste applicazioni, un’occasione troppo allettante per i criminali che ne hanno subito approfittato.

In termini di servizi più sfruttati per ospitare e distribuire contenuti malevoli, il report di Netskope mostra una gara a due tra Google Drive e OneDrive. Se il servizio di Microsoft si è attestato al primo posto nel 2020, il 2021 ha visto un cambio al vertice, con il servizio di Google che ha conquistato la prima posizione con il 37%, appena davanti a OneDrive (20%) e SharePoint (9%). Curiosamente, AWS si è posizionato al quarto posto con il 6%, dimostrando che i servizi IaaS sono ugualmente interessanti per i criminali.

In termini di payload, la dispersione della forza lavoro caratterizza anche il modo in cui viene distribuito il contenuto malevolo: i team remoti devono scambiarsi prevalentemente documenti e non sorprende che proprio i documenti siano stati il vettore principale del malware. Nel corso del 2021 i documenti Office malevoli hanno rappresentato quasi il 40% di tutti i download di malware: un forte aumento rispetto all’inizio del 2020 quando rappresentavano solo il 19%, un aumento che è stato guidato principalmente da Emotet (durante il secondo trimestre del 2020) e Dridex (all’inizio del 2021). 

Questo inizio di 2022 ci dice che non solo i criminali continuano a sfruttare i servizi cloud, ma stanno anche diventando sempre più creativi… E, ancora peggio, l’abuso del cloud si sta estendendo ad altri domini come la guerra informatica (cyber warfare).  

LEGGI ANCHE: Malware cos’è, come riconoscerlo e quali sono le diverse tipologie

Lo sfruttamento di Discord nella guerra informatica ucraina

Era solo questione di tempo prima che le tensioni geopolitiche in Ucraina attraversassero il confine del cyberspazio e questo è accaduto a metà gennaio 2022, quando il paese è stato colpito da WhisperGate, un malware di tipo distruttivo (wiper) mascherato da ransomware, e utilizzato in una devastante campagna contro le organizzazioni ucraine (campagne che purtroppo stanno continuando in questi giorni). Per la cronaca il malware distruttivo non è il solo modo di condurre una guerra informatica, nello stesso periodo l’Ucraina ha subito il defacement di molti siti web del governo. WhisperGate è un malware multi-stage e non sorprende che uno dei payload sia ospitato su Discord, una piattaforma di messaggistica istantanea molto popolare tra i giocatori e altre comunità e sempre più sfruttata dai criminali informatici, nonostante, finora, principalmente per scopi opportunistici. 

Servizi cloud, iniziamo da dove eravamo rimasti  

Ma se lo sfruttamento di un servizio cloud per la guerra informatica rappresenta una novità nel panorama delle minacce, anche in questa prima parte del 2022 i cyber criminali di tipo opportunistico stanno continuando con lo stesso modus operandi consolidato che si è delineato nel corso del 2021: l’utilizzo di servizi cloud legittimi per distribuire documenti di Office malevoli. Ad esempio, i Netskope Threat Labs hanno recentemente scoperto una campagna mirata alla distribuzione di diversi payload malevoli, come AveMaria (anche noto come Warzone) e AgentTesla tramite documenti Powerpoint infetti. Per rendere la campagna più efficace, gli attaccanti hanno utilizzato molteplici meccanismi di evasione come Bitly per abbreviare gli URL e diversi servizi cloud come MediaFire, Blogger e GitHub per ospitare i payload. Ancora una volta i criminali sfruttano la mancanza di contesto delle tecnologie di sicurezza web tradizionali che nella maggior parte dei casi non ispezionano il traffico cifrato su larga scala e, quando sono in grado di farlo, non riconoscono il contesto della connessione se questa è indirizzata verso un servizio legittimo (per esempio differenziare una istanza legittima di GitHub da una malevola utilizzata dagli attaccanti per distribuire malware). 

Possibilità illimitate rendono gli attaccanti sempre più creativi 

Uno dei vantaggi che i servizi cloud offrono ai criminali informatici è la disponibilità di più strumenti, all’interno della stessa applicazione, che possono essere utilizzati per distribuire il contenuto malevolo. Ad esempio, una volta impostata una pagina di phishing in Google Forms, gli attaccanti possono sfruttare Gmail per distribuire il payload, aggiungendo un elemento di legittimità ed evasione, poiché il messaggio sembra provenire da una fonte attendibile. E all’interno di ogni suite SaaS ci sono molteplici strumenti che possono essere sfruttati: Google Docs è un altro esempio che ha stimolato la creatività dei cyber criminali: menzionare qualcuno in un commento di un documento Google Docs genera un’e-mail che si può sfruttare per inviare link malevoli a malware o pagine di phishing. L’email appare completamente legittima all’utente ignaro che probabilmente non si pone troppe domande e segue i link malevoli. Questa tecnica è emersa per la prima volta alla fine del 2020 e, attualmente, è ancora sfruttata in più campagne

Mitigare il rischio di contenuti malevoli distribuiti dal cloud    

Quasi due terzi del malware è ora distribuito tramite applicazioni cloud: il vecchio motto “pensa prima di fare clic” è più attuale che mai, considerando l’esplosione di servizi cloud personali e aziendali utilizzati sui dispositivi di proprietà dell’utente o dell’azienda. Ad esempio, l’ultimo Cloud and Threat Report di Netskope mostra che nel 2021 organizzazioni con 500-2.000 dipendenti hanno utilizzato in media 39 applicazioni di cloud storage distinte, un numero non solo impressionante, ma che mostra anche un aumento rispetto alle 35 applicazioni del 2020. 

Ma oltre alla consapevolezza e alla formazione degli utenti, le organizzazioni devono passare a un modello di sicurezza erogato dal cloud, basato sul contesto e sui dati, per applicare quanto segue:

  • Controlli di accesso adattivi basati su molteplici fattori quali: utente, applicazione, rischio dell’applicazione, istanza dell’applicazione, dispositivo, posizione, sensibilità dei dati e destinazione, per concedere in modo selettivo l’accesso ad attività specifiche o richiedere un’autenticazione graduale prima dell’attività. 
  • Accesso secondo il paradigma ‘Zero Trust’ alle applicazioni private nei data center e nei servizi cloud pubblici per ridurre l’esposizione delle applicazioni e limitare il movimento laterale all’interno della rete. 
  • Analizzare in linea le applicazioni cloud gestite e non per il contesto dei dati, e del traffico Web all’interno di un’architettura SSE (Security Service Edge) single-pass, per abilitare la protezione dei dati e la difesa dalle minacce, senza impatti sull’esperienza utente. 
  • Abilitazione selettiva e sicura delle applicazioni cloud sulla base di una valutazione completa del rischio, con la possibilità di consigliare alternative più sicure tramite coaching in tempo reale e avvisi per procedere o cancellare l’accesso. 
  • Controlli granulari delle policy per la protezione dei dati, incluso il movimento dei dati da e verso le applicazioni, tra istanze aziendali e personali, shadow IT, utenti, siti Web, dispositivi e siti geografici.  
  • Analytics avanzati per visualizzare e scoprire i rischi di attività legate a dati e applicazioni, attività pericolose, violazioni della protezione dei dati, parametri di sicurezza chiave e dettagli di investigazione. 
  • Autenticazione forte e controlli di accesso delle identità (SSO, MFA, ecc.) collegati ad applicazioni e servizi cloud gestiti e non gestiti. 

Con metodi sempre più sofisticati che sfruttano il cloud, e le policy di una forza lavoro remota che proseguirà, le aziende devono evolvere dagli approcci tradizionali alla sicurezza ed essere proattive nell’adozione di misure per mitigare i rischi, pur rimanendo flessibili per massimizzare il potenziale di business offerto dal cloud. 

Servizi Cloud: prosegue nel 2022 lo sfruttamento per gli attacchi cibernetici ultima modifica: 2022-03-08T12:07:08+01:00 da Sara Comi

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui