Le aziende sono diventate più attente e adottano ogni mezzo possibile per difendere i propri sistemi informatici da attacchi cyber sempre più frequenti e sofisticati. Purtroppo però i criminali informatici evolvono le loro tecniche e aumentano le tattiche per colpire il bersaglio. Lo conferma anche Netskope, specialista del Secure Access Service Edge (SASE), nella sua nuova ricerca: gli attaccanti stanno trovando nuovi modi per eludere il rilevamento, mimetizzandosi con il normale traffico di rete utilizzando HTTP e HTTPS per distribuire malware. Nel suo ultimo Cloud & Threat Report: Global Cloud and Web Malware Trends, Netskope ha identificato che in media 5 utenti aziendali su 1.000 hanno tentato di scaricare malware nel primo trimestre del 2023 e che le nuove famiglie e varianti di malware rappresentano il 72% di tali download di malware.
Social Engineering e Search Engine Data Void in aumento
Nel report, Netskope ha scoperto che quasi il 10% di tutti i download di malware nel primo trimestre è provenuto dai motori di ricerca. Questi download derivano principalmente da data void malevoli, ovvero combinazioni di termini di ricerca che hanno pochissimi risultati, con la conseguenza che qualsiasi contenuto corrispondente a tali termini ha una probabilità elevata di apparire molto in alto nei risultati di ricerca. Questa tecnica di social engineering è solo una delle tante che gli attaccanti stanno adottando in maniera crescente.
Il social engineering nel suo complesso continua a prevalere come tecnica di infiltrazione di malware con i criminali informatici che abusano non solo dei motori di ricerca, ma anche di e-mail, applicazioni di collaborazione e applicazioni di chat per ingannare le loro vittime. Tra i primi due tipi principali di malware, i trojan hanno rappresentato il 60% dei download di malware nel primo trimestre e i download di phishing hanno rappresentato il 13%.
Valutazione dei principali canali di comunicazione per i criminali informatici
Per la prima volta nel suo Cloud and Threat Report trimestrale, Netskope ha analizzato i canali di comunicazione dei criminali informatici. I ricercatori hanno scoperto che gli attaccanti, per eludere il rilevamento in modo consistente, hanno utilizzato HTTP e HTTPS sulle porte 80 e 443 come canale di comunicazione principale. Infatti, dei nuovi eseguibili malware analizzati da Netskope che hanno comunicato con host esterni, l’85% lo ha fatto utilizzando la porta 80 (HTTP) e il 67% utilizzando la porta 443 (HTTPS). Questo approccio consente agli attaccanti di passare facilmente inosservati e di confondersi con l’abbondanza di traffico HTTP e HTTPS già presente sulla rete.
Inoltre, per eludere i controlli di sicurezza basati su DNS, alcuni campioni di malware eludono le richieste DNS, raggiungendo direttamente gli host remoti utilizzando i loro indirizzi IP. Nel primo trimestre del 2023, la maggior parte dei campioni malware che hanno avviato comunicazioni esterne lo ha fatto utilizzando una combinazione di indirizzi IP e nomi host, con il 61% che ha comunicato direttamente con almeno un indirizzo IP e il 91% che ha comunicato con almeno un host tramite una richiesta DNS.
“Il compito principale dei criminali informatici, è quello di trovare nuovi modi per coprire le proprie tracce, mentre le aziende investono sempre più risorse nel rilevamento delle minacce, purtroppo questi risultati indicano quanto in realtà sia ancora facile per gli attaccanti agire in piena luce”, ha affermato Ray Canzanese, Threat Research Director, Netskope Threat Labs. “Poiché gli attaccanti si rivolgono verso i servizi cloud ampiamente utilizzati nelle aziende e sfruttano i canali popolari per comunicare, un approccio trasversale alla mitigazione del rischio, è più necessario che mai”.
Approfondimento sulle tendenze globali del malware rivolto al cloud e al web
Altri risultati degni di nota scoperti dal gruppo di ricerca di Netskope includono:
- il 55% dei download di malware HTTP/HTTPS è provenuto da applicazioni cloud, rispetto al 35% dello stesso periodo dell’anno scorso. Il motivo principale dell’aumento è la crescita dei download di malware dalle applicazioni cloud aziendali più popolari, con Microsoft OneDrive che con ampio margine risulta l’applicazione aziendale più diffusa;
- anche il numero di applicazioni con download di malware ha continuato ad aumentare, raggiungendo un massimo di 261 applicazioni distinte nel primo trimestre del 2023;
- Solo una piccola parte del totale dei download di malware dal web è avvenuta tramite categorie Web tradizionalmente considerate rischiose. I download sono avvenuti su un’ampia varietà di siti, con i server di contenuti (CDN) responsabili della fetta più grande, pari al 7,7%
Poiché le aziende lavorano per difendersi dall’assalto del malware, è necessaria la collaborazione interfunzionale tra più team, tra cui quelli di networking, security operation, incident response, il management e persino contributori individuali. Altri passi che le organizzazioni possono compiere per ridurre i rischi includono:
- Ispezionare tutti i download HTTP e HTTPS, incluso tutto il traffico web e cloud, per impedire che il malware si infiltri nella rete;
- Garantire che i controlli di sicurezza ispezionino in modo continuo il contenuto dei file di archivio più diffusi e che i tipi di file ad alto rischio siano accuratamente ispezionati;
- Configurare politiche di sicurezza per impedire i download dalle applicazioni che non vengono utilizzate nell’organizzazione al fine di ridurre la superficie di rischio.
