Cyberprzestępcy coraz częściej kradną dane poprzez aplikacje chmurowe

W lipcu 2023 r. 57% wszystkich pobrań złośliwego oprogramowania  pochodziło z popularnych aplikacji w chmurze. Jednocześnie całkowita liczba aplikacji w chmurze, z których pobrano złośliwe oprogramowanie, wzrosła do 167. To wskazuje, że cyberprzestępcy nadal docierają do swoich ofiar za pośrednictwem coraz bardziej zróżnicowanego zestawu aplikacji w chmurze. Tak wynika z półrocznego raportu firmy Netskope.

Cyberprzestępcy próbują pozostać niezauważeni, dostarczając szkodliwe pliki lub wirusy za pośrednictwem popularnych aplikacji w chmurze. Taka metoda dostarczania złośliwego oprogramowania w celu kradzieży danych umożliwia atakującym uniknięcie kontroli bezpieczeństwa, które opierają się głównie na blokowaniu wybranych domen i filtrowaniu adresów URL. Jakich aplikacji unikać i jak ustrzec się przed kradzieżą danych analizuje Ray Canzanese z Threat Labs firmy Netskope

Cyberprzestępcy osiągają największe sukcesy w docieraniu do pracowników firm lub przedsiębiorstw, gdy ci nadużywają aplikacji chmurowych w czasie przesyłania lub odbierania czasami bardzo ważnych danych. Microsoft OneDrive, najpopularniejsza aplikacja chmurowa dla przedsiębiorstw, utrzymuje się na pierwszym miejscu pod względem największej liczby pobrań złośliwego oprogramowania w chmurze od ponad sześciu miesięcy. Chociaż odsetek pobrań z OneDrive spadł czwarty miesiąc z rzędu, nadal to rozwiązanie pozostaje na niechlubnym pierwszym miejscu.

Na drugim miejscu podium trzeci miesiąc z rzędu jest Squarespace. To darmowa usługa hostingowa, ponieważ różne rodziny złośliwego oprogramowania są nadal hostowane na stronach tej firmy. Inne najpopularniejsze aplikacje do pobierania złośliwego oprogramowania obejmują:

• bezpłatne usługi hostingowe (Weebly),
• aplikacje do współpracy (SharePoint),
• bezpłatne witryny hostingowe oprogramowania (GitHub),
• aplikacje do przechowywania w chmurze (Azure Blob Storage, Google Drive, Amazon S3),
• aplikacje poczty internetowej (Outlook.com).

DocPlayer, darmowa aplikacja do udostępniania dokumentów, znalazła się w pierwszej dziesiątce czwarty miesiąc z rzędu. Wynika to z faktu, że złośliwe pliki PDF zyskały na popularności. Łącznie pierwsza dziesiątka odpowiadała za dwie trzecie wszystkich pobrań złośliwego oprogramowania w chmurze. Pozostała jedna trzecia rozłożyła się na 157 innych aplikacji w chmurze.

Najważniejsze typy plików oraz rodziny złośliwego oprogramowania

Nadal atakujący wykorzystują różne rodzaje plików. Przenośne pliki wykonywalne Microsoft Windows (EXE/DLL) po raz pierwszy od pięciu miesięcy wypadły z czołówki. Spadły na trzecie miejsce, za plikami PDF i plikami archiwum ZIP.  Złośliwe pliki PDF zyskiwały na popularności w ciągu ostatnich sześciu miesięcy, ponieważ atakujący wykorzystują je na różne sposoby. W tym: jako przynętę phishingową i jako narzędzia do nakłaniania użytkowników do pobierania trojanów. Archiwa ZIP są powszechnie używane do ukrywania trojanów obok nieszkodliwej zawartości, w celu uniknięcia wykrycia.

Cyberprzestępcy nieustannie tworzą nowe rodziny złośliwego oprogramowania i nowe warianty istniejących rodzin. Próbują tym samym ominąć rozwiązania bezpieczeństwa lub zaktualizować możliwości swojego złośliwego oprogramowania. W lipcu 2023 r. 71% wszystkich pobrań złośliwego oprogramowania wykrytych przez Netskope stanowiły nowe rodziny lub nowe warianty, których nie zaobserwowano w ciągu ostatnich sześciu miesięcy. Pod względem ilości Netskope blokuje więcej trojanów niż jakikolwiek inny typ złośliwego oprogramowania. Są one powszechnie wykorzystywane przez atakujących do zdobycia przyczółku i dostarczania innych rodzajów złośliwego oprogramowania, takich jak infostealery, trojany zdalnego dostępu (RAT), backdoory i ransomware.

Inne najpopularniejsze typy złośliwego oprogramowania obejmują przynęty phishingowe (zazwyczaj pliki PDF zaprojektowane w celu zwabienia ofiar do oszustw phishingowych), backdoory (które zapewniają potajemny zdalny dostęp), wirusy (które mogą się rozprzestrzeniać) i exploity oparte na plikach. Względny rozkład typów złośliwego oprogramowania zmienia się bardzo nieznacznie z miesiąca na miesiąc.

Co zrobić, żeby uniknąć kradzieży danych?

Cyberprzestępcy zawsze starali się unikać wykrycia podczas dostarczania złośliwego oprogramowania. Dwie strategie, z których atakujący coraz częściej korzystali w ciągu ostatnich sześciu miesięcy, to dostarczanie złośliwego oprogramowania w czasie, gdy pracownicy nadużywają rozwiązań chmurowych oraz pakowanie złośliwego oprogramowania w pliki archiwalne. Netskope Threat Labs zaleca przegląd stanu bezpieczeństwa, aby upewnić się, że firmy są odpowiednio chronione przed oboma tymi trendami.

Czytaj też >> Sztuczna inteligencja stwarza problemy. Pojawiają się pozwy.

Należy sprawdzać wszystkie pobrania typu HTTP i HTTPS. W tym: całego ruchu internetowego i ruchu w chmurze, aby zapobiec infiltracji sieci przez złośliwe oprogramowanie. Klienci Netskope mogą skonfigurować Netskope NG-SWG z polityką ochrony przed zagrożeniami. Ma ona zastosowanie do pobierania ze wszystkich kategorii i dotyczy wszystkich typów plików. Warto upewnić się w firmie, że kontrole bezpieczeństwa rekurencyjnie sprawdzają zawartość popularnych plików archiwalnych.  

Polityka bezpieczeństwa w firmie powinna zmuszać do stosowania rozwiązań, które sprawdzają złośliwe pliki  przy użyciu kombinacji analizy statycznej i dynamicznej przed pobraniem. Klienci Netskope Advanced Threat Protection mogą korzystać z polityki Patient Zero Prevention Policy. Dzięki temu mogą wstrzymać pobieranie plików do czasu ich pełnego sprawdzenia. Należy dodatkowo tak skonfigurować zasady bezpieczeństwa, aby blokować pobieranie z aplikacji, które nie są używane w organizacji. To powoduje zmniejszenie powierzchni ryzyka tylko do tych aplikacji i instancji, które są niezbędne dla firmy. Szczególną uwagę należy zwrócić na blokowanie pobierania wszystkich ryzykownych typów plików z nowo zarejestrowanych domen i nowo obserwowanych domen. Stosowanie różnych rozwiązań z zakresu cyberbezpieczeństwa pozwoli na uniknięcie przypadków kradzieży ważnych danych.