I malware provenienti dal cloud continuano a costituire una delle minacce più serie per le aziende europee. L’allarme è incluso nel Cloud and Threat Report 2024 dei Netskope Threat Labs, relativo al periodo che va dal 1 maggio 2023 al 30 aprile 2024. L’assunto di partenza è ben noto: l’accelerazione nell’adozione del cloud e delle applicazioni SaaS nelle imprese avvenuta lo scorso anno ha ampliato la superficie di attacco e ha contestualmente attirato l’attenzione degli attaccanti, che hanno iniziato a sfruttare queste applicazioni per condurre attacchi informatici, soprattutto con tattiche di social engineering.

Nella maggior parte dei casi, tali attività sono state motivate finanziariamente. La catena di attacco è quella ben nota: una volta ottenuto l’accesso iniziale, gli attaccanti hanno adottato strategie finalizzate all’ottenimento della persistenza, quindi hanno esplorato la rete mediante movimenti laterali, individuato gli asset di maggior valore e avviato ransomware o infostealer per sabotare gli ambienti e/o pubblicare dati sensibili in caso di mancato pagamento del riscatto.

Cloud e malware

Dalle informazioni contenute nel report risulta che il 55% dei download di malware proviene dal cloud, con il 25% distribuito tramite Microsoft OneDrive. Uno dei malware più usati è Guloader, un downloader spesso utilizzato nella fase iniziale degli attacchi per ottenere accesso e distribuire infostealer e trojan nelle fasi successive. Oltre a OneDrive, per la distribuzione del malware sono sfruttati anche SharePoint e Google Drive.

Secondo gli esperti il download di malware da fonti cloud è in aumento, dopo un lieve calo nel 2023, soprattutto in Europa. A titolo preventivo, gli esperti consiglio di adottare soluzioni per l’ispezione del Traffico, l’analisi dei file e di adottare policy di blocco per download e caricamenti da applicazioni non utilizzate all’interno delle aziende. È inoltre consigliabile dotarsi di sistemi IPS per identificare e bloccare traffico malevolo e di tecnologie di isolamento del browser per l’accesso a siti web a rischio.

Netskope poi riserva una parte dell’analisi alle GenAI. Le app di Intelligenza Artificiale generativa, un anno fa praticamente inesistenti in ambito aziendale, sono ora diventate fondamentali, con oltre il 10% degli utenti che vi accede mensilmente. Da una parte le capacità innovative della GenAI in scrittura, programmazione e operazioni di security aumenta l’efficienza dei dipendenti. Dall’altra il loro uso introduce un elemento di rischio che dev’essere prevenuto e gestito.