Una nueva investigación muestra que las organizaciones empresariales en estos días tienen muchas más probabilidades de experimentar descargas de malware desde aplicaciones en la nube que cualquier otra fuente.
Los investigadores de Netskope analizaron recientemente los datos recopilados de las redes de los clientes y descubrieron que más de dos tercios del malware descargado en las redes empresariales entre el 1 de enero de 2020 y el 30 de noviembre de 2021 se originó en aplicaciones en la nube. El proveedor de seguridad descubrió que el malware entregado en la nube se ha vuelto más frecuente que el malware entregado a través de la Web y a través de sitios web con malware.
Gran parte del cambio tiene que ver con la conveniencia y el costo para los atacantes, dice Ray Canzanese, director de Netskope Threat Labs.
Las aplicaciones de almacenamiento en la nube ofrecen servicios de alojamiento de archivos gratuitos o de bajo costo y brindan a los atacantes una forma de llegar a muchas víctimas potenciales. “Los atacantes que intentan afianzarse en una organización saben que es más probable que un usuario abra un enlace a un servicio que usa regularmente”, como Google Drive, dice. "Si un atacante me envió un enlace para descargar un archivo de Dropbox, es posible que no haga clic en él porque rara vez uso Dropbox para trabajar".
Significativamente, muchas aplicaciones en la nube ampliamente utilizadas son relativamente fáciles de abusar, aunque los principales proveedores de servicios en la nube están mejorando en la detección y eliminación de actividades maliciosas rápidamente. Los atacantes pueden crear fácilmente una cuenta gratuita para muchas aplicaciones de almacenamiento en la nube y simplemente comenzar a cargarles muestras de malware, dice Canzanese.
“Luego comparten enlaces a ese contenido, ya sea de forma nativa a través de la aplicación o generando un enlace de acceso público y compartiéndolo por correo electrónico, redes sociales, sitios web maliciosos, mensajes de texto o cualquier otro medio”, señala.
análisis de netskope mostró que Google Drive ha reemplazado a Microsoft OneDrive como la aplicación en la nube que los atacantes usan con más frecuencia para tratar de distribuir malware a las redes empresariales. De hecho, la mayor parte del malware en la nube en 2021 se alojó y distribuyó a través de Google Drive.
Al mismo tiempo, el malware entregado a través de documentos armados de Microsoft Office saltó al 37 % de todas las descargas de malware, casi el doble del 19 % a principios de 2020. Al menos parte del aumento del volumen tuvo que ver con una campaña de spam que involucró al Troyano Emotet en el segundo trimestre de 2020 que implicaba el uso de documentos maliciosos de Microsoft Office. Desde entonces, muchos otros atacantes han copiado la táctica y han contribuido a un aumento constante en el uso de documentos de Office para enviar malware durante los últimos seis trimestres.
“No importa qué aplicaciones en la nube use su empresa, los atacantes abusan de ellas”, dice Canzanese.
Google Drive, OneDrive y Box son los favoritos de los atacantes. Pero, de lejos, no son las únicas aplicaciones en la nube que los atacantes aprovechan para distribuir malware. Netskope bloqueó las descargas de malware de hasta 230 aplicaciones en la nube diferentes en 2021. "Lo más probable es que las aplicaciones en las que confían muchas organizaciones estén en esta lista", señala.
Nuevo desafío
Para los equipos de seguridad, el cambio a la entrega de malware basado en la nube presenta un nuevo desafío.
“Las organizaciones que han adoptado un enfoque de 'confiar en las aplicaciones que usamos' deberían cambiar a una política más defensiva que analice las descargas desde y hacia esas aplicaciones”, dice Canzanese. Las organizaciones deben adoptar un enfoque de confianza cero para escanear el contenido que los usuarios cargan y descargan, independientemente de su origen. También es importante la necesidad de que las organizaciones utilicen el inicio de sesión único y la autenticación multifactor para proteger las cuentas de aplicaciones en la nube, señala.
El análisis de Netskope mostró que los actores de amenazas también están apuntando activamente a aplicaciones en la nube administradas, o aplicaciones en la nube como Google Workspaces u Office 365, que una función de TI centralizada podría administrar, en ataques de credenciales. En muchos casos, el objetivo es tratar de obtener acceso a los datos almacenados en estas aplicaciones o usar la aplicación para obtener una posición más amplia en una red comprometida.
Los proveedores de servicios en la nube y los equipos de seguridad empresarial enfrentan desafíos para mantenerse un paso por delante de los atacantes que abusan de las aplicaciones en la nube, dice Canzanese. Pero algunos proveedores de la nube están dificultando las cosas para los atacantes, dice.
Servicios como Google Drive y OneDrive escanean malware, lo que significa que los atacantes deben crear cargas útiles que no pueden detectarse ni bloquearse automáticamente. Cuando se descubre un ataque, dichos servicios suelen ser rápidos para eliminar la actividad, lo que significa que los actores de amenazas solo tienen una ventana de tiempo limitada para llevar a cabo un ataque, dice.
"Para la mayoría de los proveedores de servicios en la nube", dice Canzanese, "un desafío es responder a las notificaciones de abuso de manera oportuna, para garantizar que los ataques se detengan rápidamente después de que se descubran".
