Útočníci jsou úspěšnější v doručování škodlivého obsahu díky cloudu

Malware doručovaný z cloudu je nyní rozšířenější než malware z webu. V roce 2021 se podíl malwaru staženého z cloudových aplikací zvýšil na 66 % všech případů stažení malwaru ve srovnání s tradičními webovými stránkami, přičemž na začátku roku 2020 to bylo 46 %.

Jde o jeden ze závěrů plynoucí z nejnovější zprávy společnosti Netskope o zabezpečení cloudu, která vychází z anonymizovaných dat získaných od milionů uživatelů po celém světě v období od 1. ledna 2020 do 30. listopadu 2021.

Na základě těchto zjištění se Disk Google stal hlavní aplikací zodpovědnou za nejvíce stažení malwaru, přičemž zpráva uvádí, že Disk Google zprostředkoval nejvíce stažení malwaru v roce 2021, čímž na prvním místě nahradil OneDrive od Microsoftu.

Nicméně malware doručený z cloudu prostřednictvím aplikací Microsoftu se od roku 2020 do roku 2021 téměř zdvojnásobil, přičemž podíl škodlivých dokumentů Microsoft Office vzrostl na 37 % všech stažení malwaru na konci roku 2021 ve srovnání s 19 % na začátku roku 2020.

K nárůstu malwaru došlo proto, že útočníci nadále využívají ozbrojené dokumenty Office k získání počáteční pozice v cílových systémech.

Emotet

Zpráva uvádí, že malspamová kampaň Emotet ve 2. čtvrtletí 2020 odstartovala prudký nárůst škodlivých dokumentů Microsoft Office, který následovníci útočníků udržovali po celých šest uplynulých čtvrtletí, přičemž nejsou patrné žádné známky zpomalení.

Podle odborníků je trend škodlivých dokumentů Office a zneužívání cloudových aplikací k doručování malwaru velice znepokojivý, přičemž nejde jen o to, že útočníci pokračují v doručování škodlivého obsahu pomocí dokumentů Office a cloudových aplikací, ale že se jim i nadále daří úspěšně oslovovat uživatele.

Zpráva společnosti Netskope analyzovala také stahování malwaru, který společnost zablokovala – tedy malwaru, který se uživatel pokusil stáhnout. Útočníci oslovují uživatele prostřednictvím sociálních médií, e-mailů, kompromitovaných webových stránek a samotných cloudových aplikací, čímž jsou uživatelé vystaveni rizikům na všech frontách.

Podle expertů jsou důležité tři pilíře, které společnostem pomohou, aby se ochránily před nárůstem malwaru zaměřeného na produkty a řešení Microsoft:

1) Je na místě používat bezpečnostní řešení, které kontroluje všechny příchozí dokumenty Office na přítomnost škodlivého obsahu. Kombinace signatur, heuristiky a sandboxu dokáže přesně detekovat a blokovat škodlivé dokumenty Office dříve, než je uživatelé otevřou.

2) Většina škodlivých dokumentů Office vyžaduje, aby uživatelé manuálně povolili, aby se škodlivý obsah spustil. Pozitivní dopad může mít vzdělávací kampaň, která uživatelům připomene, aby nikdy neklikali bezmyšlenkovitě na tlačítko, které obsah povoluje.

3) V zásadách skupiny lze zakázat makra a další funkce používané útočníky, čímž se uživatelům zabrání, aby kdykoli spustili jakýkoli potenciálně škodlivý obsah, ať už se ukáže, že je škodlivý, nebo ne.

Hrozby zevnitř a malware

Podle zprávy je na vzestupu také exfiltrace podnikových dat: Jeden ze sedmi zaměstnanců si při odchodu od zaměstnavatele odnáší data s sebou, a to pomocí osobních instancí aplikací.

V letech 2020 až 2021 stáhlo v průměru 29 % odcházejících zaměstnanců více souborů ze spravovaných instancí firemních aplikací a 15 % uživatelů nahrálo více souborů do osobních instancí aplikací.

V boji proti exfiltraci dat jsou důležité zejména dva nástroje: Prevence ztráty dat (DLP) a analýza chování uživatelů (UBA). DLP může pomoci s upozorňováním nebo blokováním nežádoucího pohybu dat v reálném čase a UBA může pomoci identifikovat neobvyklé vzorce pohybu dat a další související změny ve vzorcích chování.

Pokud jde o obecnou úroveň povědomí o malwaru v organizacích, mnoho z nich si neuvědomuje, že útočníci zneužívají cloudové platformy k šíření malwaru, ale toto chování přisuzují pouze konkrétním aplikacím. Problém je tedy v tom, že nejde o problém specifický pro danou aplikaci. V roce 2021 zablokoval Netskope stahování malwaru z 230 různých aplikací. A většina organizací používá alespoň jednu z aplikací v první pětce. Mnoho uživatelů se také domnívá, že pokud jejich organizace používání určité aplikace povoluje, mohou ji v klidu používat ostatní s vědomím, že je bezpečná. Avšak to, že organizace umožňuje používání určité aplikace, neznamená, že ji útočníci nezneužijí k šíření malwaru. Proto jsou velké naděje upírány ke konceptu zero-trust, který znamená nedůvěřovat stahování odkudkoli, včetně schválených aplikací.

Zdroj Securityboulevard