Cloud-apps vervangen internet als bron voor de meeste malwaredownloads

Nieuw onderzoek toont aan dat grote ondernemingen tegenwoordig veel vaker last hebben van malwaredownloads van cloudapplicaties dan welke andere bron dan ook.

Onderzoekers van Netskope analyseerden onlangs gegevens die waren verzameld via klantnetwerken en ontdekten dat meer dan tweederde van de malware die tussen 1 januari 2020 en 30 november 2021 naar bedrijfsnetwerken werd gedownload, afkomstig was van cloudapplicaties. De beveiligingsleverancier ontdekte dat malware die via de cloud wordt geleverd, vaker voorkomt dan malware die wordt geleverd via internet en websites met malware.

Veel van de verschuiving heeft te maken met het gemak en de kosten voor aanvallers, zegt Ray Canzanese, directeur van Netskope Threat Labs.

Cloudopslag-apps bieden gratis of goedkope bestandshostingservices en bieden aanvallers een manier om veel potentiële slachtoffers te bereiken. "Aanvallers die voet aan de grond proberen te krijgen in een organisatie, weten dat een gebruiker eerder een link opent naar een service die ze regelmatig gebruiken", zoals Google Drive, zegt hij. "Als een aanvaller me een link stuurt om een bestand van Dropbox te downloaden, klik ik er misschien niet op omdat ik Dropbox zelden voor werk gebruik."

Het is veelbetekenend dat veel veelgebruikte cloud-apps relatief triviaal zijn om te misbruiken, hoewel grote cloudserviceproviders steeds beter worden in het snel opsporen en verwijderen van kwaadaardige activiteiten. Aanvallers kunnen eenvoudig een gratis account maken voor veel apps voor cloudopslag en beginnen met het uploaden van malwarevoorbeelden, zegt Canzanese.

"Vervolgens delen ze links naar die inhoud, ofwel native via de app of door een openbaar toegankelijke link te genereren en deze te delen via e-mail, sociale media, kwaadwillende websites, sms-berichten of andere middelen", merkt hij op.

Netskope's analyse toonde aan dat Google Drive Microsoft OneDrive heeft vervangen als de cloud-app die aanvallers het meest gebruiken om malware naar bedrijfsnetwerken te verspreiden. In feite werd de meeste cloud-malware in 2021 gehost en gedistribueerd via Google Drive.

Tegelijkertijd steeg het aantal malware dat werd aangeleverd via bewapende Microsoft Office-documenten tot 37% van alle malwaredownloads – bijna een verdubbeling ten opzichte van de 19% aan het begin van 2020. Ten minste een deel van het toegenomen volume had te maken met een spamcampagne waarbij de Emotet Trojan in het tweede kwartaal van 2020 waarbij gebruik werd gemaakt van kwaadaardige Microsoft Office-documenten. Sindsdien hebben talloze andere aanvallers de tactiek gekopieerd en bijgedragen aan een gestage toename van het gebruik van Office-documenten om malware af te leveren in de afgelopen zes kwartalen.

"Het maakt niet uit welke cloud-apps je bedrijf gebruikt, aanvallers maken er misbruik van", zegt Canzanese.

Google Drive, OneDrive en Box zijn favorieten van aanvallers. Maar ze zijn lang niet de enige cloud-apps die aanvallers gebruiken om malware te verspreiden. Netskope blokkeerde in 230 malwaredownloads van maar liefst 2021 verschillende cloud-apps. "De kans is groot dat de apps die veel organisaties vertrouwen op deze lijst staan", merkt hij op.

Nieuwe uitdaging
Voor beveiligingsteams vormt de verschuiving naar cloudgebaseerde malwarelevering een nieuwe uitdaging.

"Organisaties die een 'vertrouwen op de apps die we gebruiken'-aanpak hebben gekozen, zouden moeten overschakelen naar een meer defensief beleid dat downloads van en uploads naar die apps scant", zegt Canzanese. Organisaties moeten een zero-trustbenadering hanteren bij het scannen van inhoud die gebruikers uploaden en downloaden, ongeacht de herkomst. Ook belangrijk is de noodzaak voor organisaties om single sign-on en multifactor-authenticatie te gebruiken om cloud-app-accounts te beschermen, merkt hij op.

Uit de analyse van Netskope bleek dat dreigingsactoren zich ook actief richten op beheerde cloud-apps - of cloud-apps zoals Google Workspaces of Office 365, die een gecentraliseerde IT-functie zou kunnen beheren - bij inloggegevens. In veel gevallen is het doel om te proberen toegang te krijgen tot de gegevens die in deze apps zijn opgeslagen, of om de app te gebruiken om meer voet aan de grond te krijgen op een gecompromitteerd netwerk.

Cloudserviceproviders en enterprise-beveiligingsteams staan beide voor uitdagingen om aanvallers een stap voor te blijven die misbruik maken van cloud-apps, zegt Canzanese. Maar sommige cloudproviders maken het aanvallers moeilijker, zegt hij.

Services zoals Google Drive en OneDrive scannen malware, wat betekent dat aanvallers payloads moeten maken die niet automatisch kunnen worden gedetecteerd en geblokkeerd. Wanneer een aanval wordt ontdekt, zijn dergelijke diensten meestal snel in het uitschakelen van de activiteit, wat betekent dat dreigingsactoren slechts een beperkte tijdspanne hebben om een aanval uit te voeren, zegt hij.

"Voor de meeste cloudserviceproviders", zegt Canzanese, "is het een uitdaging om tijdig op misbruikmeldingen te reageren, om ervoor te zorgen dat aanvallen snel worden gestopt nadat ze zijn ontdekt."

Bron: https://www.darkreading.com/cloud/cloud-apps-replace-web-as-source-for-most-malware-downloads

Generatieve data-intelligentie

Cloud-apps vervangen web als bron voor de meeste malwaredownloads

De instroom van Bitcoin US ETF's overtreft de nieuwe dagelijkse mijnbouwproductie op 23 april

DeGods-oprichter 'Frank' plaagt terug naar Solana met Bridge Test Picture

Laatste intelligentie

Quantum News Briefs: 24 april 2024: Nieuws van Xanadu en Chicago Quantum Exchange • Wolfram en Classiq • Gouverneur van Colorado, Jared Polis • ICFO...

Het Amerikaanse DOJ beveelt een gevangenisstraf van drie jaar aan voor Binance-oprichter CZ

Nigeria ontkent dat meer dan 300 P2P-accounts op meer crypto-uitwisselingen zijn bevroren vanwege zorgen over de valuta

Regen brengt verlichting voor hydromeren

Geen plannen om Beyond Oil and Gas Alliance te verlaten: Simon Watts

Brandon Aversano, oprichter van Alloy Market

Chat met ons