Conferme dall’ultimo Netskope Threat Labs Report: il settore finanziario rimane uno dei più presi di mira dai gruppi ransomware. Il report dell’azienda specializzata nel Secure Access Service Edge (SASE), ha esaminato in particolare l’utilizzo di applicazioni cloud dagli utenti impegnati nell’ambito dei servizi finanziari negli ultimi 12 mesi.

Ci si concentra, dunque, sugli attacchi, o sulle incursioni effettuate attraverso malware o trojan scaricati e installati da utenti professionali spesso incauti. L’incipit del report considera proprio l’alta interazione degli stessi da parte degli utenti, il che evidentemente incrementa il rischio di contaminazione su end point e piattaforme.

Il rapporto si basa sul monitoraggio dell’uso (anonimo) di questi servizi attraverso il Netskope’s Next Generation Secure Web Gateway (SWG). In particolare, i dati sono stati raccolti su un sottoinsieme di aziende operanti nel settore finanziario tra gli oltre 2.500 clienti di Netskope.

23 applicazioni cloud al mese

Dalle analisi risulta che l’utente medio in quest’ambito interagisce con una media di 23 applicazioni cloud al mese, una cifra superiore a quella di tutti gli altri settori. L'1% degli utenti più attivi ha addirittura interagito con 93 applicazioni al mese.

Tra i fornitori di applicazioni cloud, Microsoft fa la parte del leone con OneDrive, Teams, Sharepoint e GitHub, e una netta prevalenza di Teams. Chi utilizza servizi finanziari scarica e distribuisce malware da e su GitHub e SharePoint più frequentemente rispetto agli utenti di altri settori, semplicemente perché li usa molto frequentemente, in maniera ugualmente incauta rispetto agli utenti negli altri settori.

La strategia, dunque, è di “impossessarsi” dell’end point attraverso l’invio all’utente e la successiva condivisione di malware e trojan, per poi proseguire con il blocco dei sistemi o il furto di dati sensibili. Ciò succede soprattutto su OneDrive e, se anche se il settore dei servizi finanziari sembra che lo sfrutti meno delle altre industrie, il servizio di Microsoft rimane comunque il principale imputato nel download di codice malevolo.

È sempre questione di attenzione

Il gruppo LockBit, recentemente sgominato dalla NCA con il supporto di specialisti di diversi vendor di security, rappresenta l’esempio più recente dell’applicazione di una strategia specificamente pensata per colpire i servizi finanziari.

Nell’ultimo anno, la percentuale di download di malware dalle app cloud è diminuita in tutti i settori, compreso i servizi finanziari. Ma nello stesso tempo, quel settore ha registrato una percentuale costantemente più elevata di download di malware dalle app cloud, scesa da oltre il 70% di un anno fa a poco meno del 50% di oggi.

E lo strumento si rivela particolarmente efficace, data la possibilità degli attaccanti di eludere i controlli di sicurezza che si basano generalmente su strumenti come liste di domini bloccati e monitoraggio del traffico web ma non applicano principi di zero trust per ispezionare regolarmente il traffico cloud.

Paolo Passeri, Cyber Intelligence Principal di Netskope.

“È evidente che le principali tendenze relative all’uso e all’abuso delle applicazioni cloud per il settore finanziario sono rimaste costanti nell’ultimo anno – afferma Paolo Passeri, Cyber Intelligence Principal di Netskope. Ciò che è interessante notare è che il settore finanziario rimane uno dei settori più preso di mira dai gruppi ransomware che si concentrano sullo sfruttamento delle vulnerabilità su larga scala. I dati fanno riflettere sul fatto che ogni organizzazione dovrebbe prendersi il tempo necessario per valutare e proteggere la propria infrastruttura e che semplici errori operativi possono esporre a minacce significative”.

La top ten dei malware e dei ransomware più diffusi nel settore Financing stilata da Netskope: Backdoor.Sliver (open source C2, command and control), Backdoor.Zusy (o TinyBanker, trojan), Downloader.BanLoad (Java downloader), Downloader.Sload (o Starslord, downloader), Phishing.PhishingX (file Pdf infetto), Ransomware.AvosLocker (Ransomwsare as a Service), Ransomware.Clop (Ransomware), Ransomware.LockBit 3.0 (o Black, l’ultima versione del ransomware LockBit), Trojan.Razy (trojan), Trojan.Valyria (o Powerstats, documento Office).