Una nuova ricerca di Netskope Threat Labs mette in luce che i criminali informatici vanno ora alla ricerca delle app Cloud per diffondere malware nel settore delle telecomunicazioni

Nestskope

Un recente report sulle minacce dedicato al settore delle telecomunicazioni, fa chiarezza su una tendenza crescente da parte degli attaccanti nell’abuso delle applicazioni aziendali più diffuse per distribuire malware ad obbiettivi del settore telco. Questa tendenza in aumento si inserisce in un contesto di continua crescita dell’adozione di applicazioni cloud nel settore telecom, dove gli utenti interagiscono prevalentemente con un sottoinsieme ridotto di applicazioni popolari, tra cui la suite Microsoft. Nello scenario di un aumento generalizzato nell’utilizzo di applicazioni cloud, le telecomunicazioni risultano il settore principale preso di mira dal malware distribuito da applicazioni cloud, con un considerevole margine del 7% rispetto ad altri settori.

Telco: risultati principali emersi dal Report di Netskope

  • Adozione delle applicazioni cloud:
    • Gli utenti del settore delle telco caricano e scaricano file nelle applicazioni cloud con una percentuale simile a quella di altri settori, ma tendono a interagire in media con un minor numero di applicazioni cloud.
    • L’utente medio delle aziende di telecomunicazioni interagisce con 24 applicazioni cloud al mese, con una forte preferenza per le applicazioni Microsoft. Microsoft OneDrive, Teams e Outlook sono le tre applicazioni più popolari del settore.
    • Microsoft OneDrive è anche l’applicazione più popolare per il caricamento dei dati, con il 30% degli utenti del settore delle telco che carica dati su OneDrive ogni giorno, il 50% in più rispetto alla media di tutti gli altri settori. Allo stesso modo, Microsoft OneDrive è l’applicazione più popolare per i download nel settore delle telecomunicazioni, con il 35% degli utenti che la usano.
  • Abuso delle applicazioni cloud:
    • La percentuale di download di malware da parte degli utenti del settore delle telecomunicazioni è scesa in linea con la tendenza globale, toccando il minimo nella seconda metà del 2023 e ricominciando ad aumentare all’inizio del 2024.
    • Le organizzazioni del settore delle telecomunicazioni sono le principali vittime del malware distribuito da applicazioni cloud, con un considerevole margine del 7% rispetto ad altri settori.
    • Microsoft OneDrive e GitHub hanno registrato il maggior numero di download di malware, seguiti da Outlook. Le altre applicazioni nella top 10 sono simili a quelle di altri settori con solo piccole differenze, tra cui spiccano il download di malware da SourceForce, il sito Web di sviluppo di software open source, e Google Cloud Storage.
  • Malware e ransomware: tra le famiglie di malware più diffuse che hanno preso di mira le organizzazioni del settore delle telco, figurano il trojan di accesso remoto Remcos, il downloader Guloader e l’infostealer AgentTesla.

Paolo Passeri_Netskope(1)Commentando i risultati del report, Paolo Passeri, Cyber Intelligence Principal di Netskope, ha dichiarato:

“Gli utenti del settore delle telecomunicazioni tendono a interagire con meno applicazioni cloud rispetto ad altri settori verticali, ma la percentuale di malware distribuito da applicazioni cloud è di 7 punti superiore rispetto agli altri settori. Questi numeri indicano che i dipendenti di questo settore hanno un atteggiamento più aperto nei confronti dei servizi cloud e ciò si riflette inevitabilmente in una più ampia esposizione alle minacce. Hanno maggiore familiarità con gli strumenti online come le applicazioni cloud e gli attaccanti tendono a trarre vantaggio di questo aspetto.

Questo atteggiamento aperto nei confronti dei servizi online è visibile anche nella tipologia di famiglie di malware che colpiscono gli utenti delle telecomunicazioni. Rispetto ad altri verticali, questo settore è preso di mira da molte più famiglie di malware, con un’ampia gamma di minacce che spazia dall’IoT (l’onnipresente Mirai) ai downloader (BanLoad e Guloader), ai trojan bancari (Grandoreiro), agli infostealer (come AgentTesla e Redline) e documenti PDF come esche di phishing.

È interessante notare che molte di queste minacce sono caratterizzate dallo sfruttamento di servizi cloud legittimi e di buona reputazione in diverse fasi della catena di attacco: Guloader scarica il payload cifrato da servizi cloud legittimi come Microsoft OneDrive o Google Drive, Grandoreiro utilizza spesso Microsoft Azure (ma anche AWS e Google) per distribuire il payload finale, ed anche i documenti esca PDF che veicolano pagine di phishing sono spesso ospitati su servizi noti di cloud storage per sembrare più realistici e legittimi.”