La trasformazione digitale ha portato gli utenti a usare sempre di più le applicazioni cloud, i cybercriminali sfruttano questo cambiamento per colpire in maniera più efficace.
Autore: Redazione SecurityOpenLab
Applicazioni cloud e malware sono una delle coppie più minacciose del momento in Europa. Lo hanno segnalato diversi esperti, ed emerge anche dal report di febbraio del Netskope Threat Labs, che segnala l’abuso sempre più frequente delle applicazioni cloud per la diffusione di malware, e in particolare di trojan, exploit, backdoor e downloader.
Il report è focalizzato sul Vecchio Continente e rimette l’accento su alcuni fatti noti che è bene tenere sempre presente: con la transizione digitale abbiamo di fatto ampliato la superficie d’attacco e aumentato in maniera esponenziale l’uso di risorse e app in cloud. Per questo gli attaccanti hanno sempre di più indirizzato la loro attenzione al cloud. È per questo motivo che oggi più della metà (53%) di tutto il malware viene distribuito tramite applicazioni cloud, contro il 33% dell’anno precedente.
I dati collezionati da Netskope sono molto chiari al riguardo. Nel 2022 l’adozione del cloud in Europa è aumentata del 29%, e le applicazioni cloud vengono usate con regolarità dal 53% degli utenti europei per caricare dati e dal 92% di essi per scaricarli. La app cloud è più popolare è OneDrive, seguita a grande distanza da Google Drive, Gmail e Microsoft Teams. L’impiego di una non esclude l’uso delle altre: sempre secondo Netskope, l'utente medio in Europa interagisce con 18 diverse applicazioni cloud al mese, con un picco dell'1% di utenti che interagisce con 79 applicazioni al mese.
Le percentuali si riflettono nell’abuso delle app che fanno i cyber criminali: in Europa, infatti, OneDrive risulta essere la fonte cloud di malware più comune con il 26% di tutti i download di malware, seguito da Google Drive, in seconda posizione.
Interessante lo spaccato del report sul tipo di malware diffuso tramite app cloud. Praticamente esiste solo il trojan, che riguarda il 78% di tutto il malware rilevato. Gli exploit, che sono al secondo posto, hanno un peso pari solo al 6,9%, le backdoor sono al 4,7% e i downloader al 3,4%. Il dato sulle backdoor dovrebbe essere preso con il beneficio del dubbio, perché spesso questi threat sono usati in attacchi di espionage che possono essere scoperti anche dopo anni di attività.
Tornando ai trojan, gli esperti dei Netskope Threat Labs hanno condotto indagini tracciando le comunicazioni con i server di Comando e Controllo (C2) degli attaccanti. In Europa è risultato che il 45% degli attacchi è stato portato avanti con il malware Remcos, un trojan di accesso remoto in auge da tempo, che fornisce numerose opzioni di accesso remoto e una semplice interfaccia di amministrazione. Al secondo posto si è attestato Ursnif, un trojan bancario anch'esso creato in Europa. Ursnif è risultato 7,5 volte più popolare in Europa che nel resto del mondo. Le tendenze recenti dimostrano che Ursnif si è evoluto, diventando una backdoor per ransomware.