Europa na czele globalnej średniej pobrań złośliwego oprogramowania
Joanna Żabnicka
Jak podaje Netskope, lider w dziedzinie SASE (Secure Access Service Edge) oraz cyberbezpieczeństwa działający na polskim rynku od ponad roku, Europa od maja tego roku znajduje się na czele globalnej średniej pobrań złośliwego oprogramowania.
Zasadniczo liczba pobrań złośliwego oprogramowania w Europie spadła w ciągu ostatniego roku, osiągając najniższy poziom w II połowie 2023 roku. Jednak od lutego 2024 r. odnotowano stały wzrost, a od maja 2024 r. Europa znajduje się na czele globalnej średniej pobrań złośliwego oprogramowania*.
Pomimo korzystania średnio z mniejszej liczby aplikacji w chmurze niż użytkownicy na całym świecie europejskie przedsiębiorstwa i instytucje są odbiorcami większej liczby złośliwego oprogramowania pochodzącego z chmury niż inne rynki.
Europa wykazuje zdecydowaną preferencję dla aplikacji Microsoftu, przy czym Microsoft OneDrive (52%), SharePoint (33%), Teams (24%) i Outlook (20%) to cztery najczęściej używane aplikacje chmurowe w regionie.
Cyberprzestępcy zdają sobie sprawę z tej popularności i w rezultacie OneDrive i SharePoint (również usługa udostępniania plików używana przez Teams) są głównymi źródłami pobierania złośliwego oprogramowania w Europie.
Niewłaściwe korzystanie z aplikacji w chmurze pozwala złośliwemu oprogramowaniu pozostać niezauważonym w wielu organizacjach, uniknąć kontroli bezpieczeństwa opartych na standardowych narzędziach, takich jak na przykład listy blokowania domen.
„Musimy zdawać sobie sprawę, że obecnie w Europie trwa nie tylko wojna za naszą wschodnią granicą, ale także w cyfrowym świecie. Cyberprzestępcy szukają ofiar nie tylko wśród bogatych firm i instytucji, ale przede wszystkim tych, które nie dbają o zabezpieczenia swojej informatycznej infrastruktury. To ataki, których głównym celem jest kradzież cennych danych, blokada ważnych systemów informatycznych czy szerzenie nieprawdziwych informacji. Cyberprzestępcy atakują nie tylko dla zysku, ale także motywowani politycznie chcą wpłynąć na przebieg ważnych wydarzeń. Coraz częściej cyberataki są przeprowadzane poprzez aplikacje z chmury, z których korzysta każdy. Stosowane złośliwe oprogramowanie cały czas ewoluuje, tym bardziej warto więc w firmach oraz instytucjach stosować zabezpieczenia, które mogą nas ochronić online, automatycznie i 24 godziny na dobę” – czytamy przytoczone w notatce słowa dyrektora Netskope na Polskę i Europę Wschodnią Michała Borowieckiego.
Liczba pobrań złośliwego oprogramowania z Microsoft OneDrive odzwierciedla połączenie strategii napastników – nadużywanie OneDrive do dystrybucji złośliwego oprogramowania – i zachowania użytkowników – ich skłonność do klikania linków i pobierania złośliwego oprogramowania ze względu na obeznanie z aplikacją. Github znalazł się na trzecim miejscu pod względem liczby pobrań złośliwego oprogramowania, ponieważ atakujący chcieli wykorzystać programistów pobierających kody w celu przyspieszenia swojej pracy, jak zauważono w raporcie.
Wśród najbardziej rozpowszechnionych grup złośliwego oprogramowania atakujących ofiary w Europie był downloader Guloader, trojan pierwszego stopnia wykorzystywany przez atakujących do uzyskania uprawnień przed dostarczeniem dalszego złośliwego oprogramowania, w tym infostealerów i trojanów.
Złośliwe oprogramowanie drugiego stopnia jest często przechowywane w zaufanych aplikacjach do przechowywania danych w chmurze, takich jak OneDrive i SharePoint, ponieważ niczego niepodejrzewający użytkownicy mają zaufanie do tych znanych aplikacji. Trojan zdalnego dostępu Remcos i infostealer AgentTesla również znalazły się w czołówce najpopularniejszych grup złośliwego oprogramowania w Europie i są często wykorzystywane w połączeniu z Guloaderem.
„Interesujące jest to, że cyberprzestępcy używają Guloadera jako pierwszego etapu rozprzestrzeniania złośliwego oprogramowania. Guloader wykorzystuje popularne usługi w chmurze, takie jak OneDrive i Google Drive, aby dostarczyć złośliwy program na późniejszym etapie ataku. Ta najnowsza nasz analiza pokazuje, jak ważne jest, aby organizacje sprawdzały cały ruch aplikacji w chmurze – niezależnie od tego, czy jest on kierowany do lub z renomowanej usługi w chmurze” – podsumował dyrektor Cyber Intelligence w Netskope Paolo Passeri.
*Netskope Threat Labs opiera swoje badania na zanonimizowanych danych zebranych od ponad 3000 europejskich klientów Netskope, z których wszyscy wyrazili zgodę na analizowanie ich danych dla potrzeb tego badania.