Kradzież danych coraz częściej poprzez aplikacje chmurowe

W lipcu 2023 roku 57 proc. wszystkich pobrań złośliwego oprogramowania pochodziło ze 167 aplikacji w chmurze, wynika z półrocznego raportu firmy Netskope.

Dostarczanie malware w celu kradzieży danych za pośrednictwem aplikacji w chmurze umożliwia atakującym uniknięcie kontroli bezpieczeństwa, które opierają się głównie na blokowaniu wybranych domen i filtrowaniu adresów URL. Jakich aplikacji unikać i jak ustrzec się przed kradzieżą danych, radzi Ray Canzanese z Threat Labs firmy Netskope.

Według niego, cyberprzestępcy osiągają największe sukcesy w docieraniu do pracowników firm lub przedsiębiorstw, gdy ci nadużywają aplikacji chmurowych w czasie przesyłania lub odbierania bardzo ważnych danych. Microsoft OneDrive, najpopularniejsza aplikacja chmurowa dla przedsiębiorstw, utrzymuje się na pierwszym miejscu pod względem największej liczby pobrań złośliwego oprogramowania w chmurze od ponad 6 miesięcy. Chociaż odsetek pobrań z OneDrive spadł czwarty miesiąc z rzędu, nadal to rozwiązanie pozostaje na pierwszym miejscu. Na drugim miejscu trzeci miesiąc z rzędu jest Squarespace, darmowa usługa hostingowa, ponieważ różne rodziny złośliwego oprogramowania są nadal hostowane na stronach tej firmy.

Inne najpopularniejsze aplikacje do pobierania malware obejmują bezpłatne usługi hostingowe (Weebly), bezpłatne witryny hostingowe oprogramowania (GitHub), aplikacje do współpracy (SharePoint), aplikacje do przechowywania w chmurze (Azure Blob Storage, Google Drive, Amazon S3) i aplikacje poczty internetowej (Outlook.com). DocPlayer, darmowa aplikacja do udostępniania dokumentów, znalazła się w pierwszej dziesiątce czwarty miesiąc z rzędu, ponieważ złośliwe pliki PDF zyskały na popularności. Łącznie pierwsza dziesiątka odpowiadała za dwie trzecie wszystkich pobrań złośliwego oprogramowania w chmurze, a pozostała jedna trzecia rozłożyła się na 157 innych aplikacji w chmurze.

Nadal atakujący wykorzystują różne rodzaje plików. Przenośne pliki wykonywalne Microsoft Windows (EXE/DLL) po raz pierwszy od 5 miesięcy wypadły z czołówki, spadając na trzecie miejsce, za plikami PDF i plikami archiwum ZIP. Złośliwe pliki PDF zyskiwały na popularności w ciągu ostatnich 6 miesięcy, ponieważ atakujący wykorzystują je na różne sposoby, w tym jako przynętę phishingową i jako narzędzia do nakłaniania użytkowników do pobierania trojanów. Archiwa ZIP są powszechnie używane do ukrywania trojanów obok nieszkodliwej zawartości, w celu uniknięcia wykrycia.

W lipcu 2023 r. 71 proc. wszystkich pobrań złośliwego oprogramowania wykrytych przez Netskope stanowiły nowe rodziny lub warianty, których nie zaobserwowano w ciągu ostatnich 6 miesięcy. Netskope blokuje więcej trojanów niż jakikolwiek inny typ złośliwego oprogramowania. Są one powszechnie wykorzystywane przez atakujących do zdobycia przyczółka i dostarczania innych rodzajów malware, takich jak infostealery, trojany zdalnego dostępu (RAT), backdoory i ransomware. Inne najpopularniejsze typy malware obejmują: przynęty phishingowe (zazwyczaj pliki PDF zaprojektowane w celu zwabienia ofiar do oszustw phishingowych), backdoory (które zapewniają potajemny zdalny dostęp), wirusy (które mogą się rozprzestrzeniać) i exploity oparte na plikach. Względny rozkład typów złośliwego oprogramowania zmienia się bardzo nieznacznie z miesiąca na miesiąc.

Ekspert Netskope zwraca uwagę na dwie strategie, z których atakujący coraz częściej korzystali w ciągu ostatnich 6 miesięcy: dostarczanie malware w czasie, gdy pracownicy nadużywają rozwiązań chmurowych oraz pakowanie złośliwego oprogramowania w pliki archiwalne. Netskope Threat Labs zaleca przegląd stanu bezpieczeństwa, aby upewnić się, że firmy są odpowiednio chronione przed oboma tymi trendami. Należy sprawdzać wszystkie pobrania typu HTTP i HTTPS, w tym całego ruchu internetowego i ruchu w chmurze, aby zapobiec infiltracji sieci przez malware.