Wieloetapowe systemy złośliwego oprogramowania, takie jak Guloader, są najbardziej rozpowszechnione w Europie, ponieważ cyberprzestępcy starają się wykorzystać najpopularniejsze usługi w chmurze. W ciągu ostatniego roku zasadniczo liczba pobrań takiego oprogramowania w Europie spadła, osiągając najniższy poziom w drugiej połowie 2023 roku. Jednak od lutego roku 2024 notuje się stały wzrost, a od maja br. Europa znajduje się na czele globalnej średniej pobrań. Niewłaściwe korzystanie z aplikacji w chmurze pozwala takim programom pozostać w wielu organizacjach niezauważonym, unikając kontroli bezpieczeństwa opartych na standardowych narzędziach, jak listy blokowania domen, lub takich, które nie sprawdzają całego ruchu w chmurze.
- Musimy zdawać sobie sprawę, że obecnie w Europie trwa nie tylko wojna za naszą wschodnią granicą ale także w cyfrowym świecie. Cyberprzestępcy szukają ofiar nie tylko wśród bogatych firm i instytucji, ale przede wszystkim tych, które nie dbają o zabezpieczenia swojej informatycznej infrastruktury. To ataki, których głównym celem jest kradzież cennych danych, blokada ważnych systemów informatycznych czy szerzenie nieprawdziwych informacji. Cyberprzestępcy atakują nie tylko dla zysku, ale także motywowani politycznie chcą wpłynąć na przebieg ważnych wydarzeń. Coraz częściej cyberataki są przeprowadzane poprzez aplikacje z chmury, z których korzysta każdy. Stosowane złośliwe oprogramowanie cały czas ewoluuje tym bardziej warto więc w firmach oraz instytucjach stosować zabezpieczenia, które mogą nas ochronić online, automatycznie i 24 godziny na dobę - komentuje Michał Borowiecki, dyrektor Netskope na Polskę i Europę Wschodnią.
Europa wykazuje zdecydowaną preferencję dla aplikacji Microsoft, przy czym Microsoft OneDrive (52%), SharePoint (33%), Teams (24%) i Outlook (20%) to cztery najczęściej używane w regionie aplikacje chmurowe. Cyberprzestępcy wiedzą o tej popularności i w rezultacie OneDrive i SharePoint (również usługa udostępniania plików używana przez Teams) są w Europie głównymi źródłami pobierania złośliwego oprogramowania. Liczba pobrań złośliwego oprogramowania z Microsoft OneDrive odzwierciedla połączenie strategii napastników - nadużywanie OneDrive do dystrybucji złośliwego oprogramowania - i zachowania użytkowników - ich skłonność do klikania linków i pobierania złośliwego oprogramowania ze względu na obeznanie z aplikacją. Na trzecim miejscu pod względem liczby pobrań złośliwego oprogramowania znalazł się Github, ponieważ atakujący chcieli wykorzystać programistów pobierających kody w celu przyspieszenia swojej pracy.
Wśród najbardziej rozpowszechnionych w Europie grup złośliwego oprogramowania był downloader Guloader - trojan pierwszego stopnia wykorzystywany przez atakujących do uzyskania uprawnień przed dostarczeniem kolejnych grup, w tym infostealerów i trojanów. Złośliwe oprogramowanie drugiego stopnia jest często przechowywane w zaufanych aplikacjach do gromadzenia danych w chmurze, takich jak OneDrive czy SharePoint, ponieważ użytkownicy mają zaufanie do tych aplikacji. W czołówce najpopularniejszych grup złośliwego oprogramowania w Europie znalazł się też trojan zdalnego dostępu Remcos i infostealer AgentTesla, które są często wykorzystywane w połączeniu z Guloaderem.
- Interesujące jest to, że cyberprzestępcy używają Guloadera jako pierwszego etapu rozprzestrzeniania złośliwego oprogramowania. Guloader wykorzystuje popularne usługi w chmurze, takie jak OneDrive i Google Drive, aby dostarczyć złośliwy program na późniejszym etapie ataku. Nasza najnowsza analiza pokazuje, jak ważne jest, by organizacje sprawdzały cały ruch aplikacji w chmurze - niezależnie od tego, czy jest on kierowany do lub z renomowanej usługi. W dalszym ciągu obserwujemy, że dostawcy zabezpieczeń zalecają wyłączenie ruchu OneDrive z zakresu polityki bezpieczeństwa, a ten raport pokazuje jak bardzo jest to nierozsądne - komentuje Paolo Passeri, dyrektor Cyber Intelligence w Netskope.
Netskope Threat Labs zaleca, aby europejskie przedsiębiorstwa dokonały rewizji stanu swoich zabezpieczeń i wprowadziły kilka najlepszych praktyk w celu przeciwdziałania potencjalnym zagrożeniom:
- Kontrola wszystkich pobieranych plików HTTP i HTTPS, w tym całego ruchu internetowego i w chmurze, aby zapobiec infiltracji sieci przez złośliwe oprogramowanie.
- Upewnienie się, że typy plików wysokiego ryzyka, takie jak pliki wykonywalne i archiwa, są dokładnie sprawdzane przy użyciu kombinacji analizy statycznej i dynamicznej przed pobraniem.
- Konfiguracja polityk w celu blokowania pobierania i wysyłania z aplikacji i instancji, które nie są używane w organizacji, aby zmniejszyć obszar ryzyka tylko do tych aplikacji oraz instancji, które są niezbędne dla firmy i zminimalizować ryzyko przypadkowego lub celowego narażenia danych przez osoby z wewnątrz lub wykorzystania przez atakujących.
- Korzystanie z systemu zapobiegania włamaniom (IPS), który może identyfikować i blokować złośliwe wzorce ruchu, takie jak ruch poleceń i kontroli związany z popularnym złośliwym oprogramowaniem. Blokowanie tego typu komunikacji może zapobiec dalszym szkodom, ograniczając zdolność atakującego do wykonywania dodatkowych działań.
- Korzystanie z technologii Remote Browser Isolation (RBI) w celu zapewnienia dodatkowej ochrony, gdy istnieje potrzeba odwiedzenia stron internetowych, które należą do kategorii, które mogą stanowić większe ryzyko, takich jak nowo obserwowane i nowo zarejestrowane domeny.
Netskope Threat Labs opiera swoje badania na zanonimizowanych danych zebranych od ponad 3000 europejskich klientów Netskope, z których wszyscy wyrazili zgodę na analizowanie ich danych dla potrzeb tego badania.
Źródło: Netskope
