Las empresas europeas, objetivo de ataques con malware multifase

Netskope Threat Labs presenta su último estudio centrado en el mercado europeo. El informe concluye que, a pesar de utilizar en promedio menos aplicaciones en la nube que los usuarios a escala mundial, las empresas europeas reciben más malware procedente de cloud que en otros mercados. Las principales conclusiones del estudio señalan que:

La popularidad de Microsoft atrae la atención de los atacantes: Europa muestra una fuerte preferencia por las aplicaciones de Microsoft, siendo Microsoft OneDrive (52%), SharePoint (33%), Teams (24%) y Outlook (20%) las cuatro aplicaciones en la nube más utilizadas a diario en la región. Los atacantes son conscientes de esta popularidad y, como resultado, OneDrive y Sharepoint (también el servicio de compartición de archivos utilizado por Teams) son las principales fuentes de descargas de malware en Europa.

El número de descargas de programas maliciosos desde Microsoft OneDrive refleja la combinación de tácticas de los agresores -abusar de OneDrive para distribuir programas maliciosos- y el comportamiento de las víctimas -su probabilidad de hacer clic en los enlaces y descargar los programas maliciosos, debido a su familiaridad con la aplicación.

Por su parte, Github ocupó el tercer lugar en descargas de malware, ya que los atacantes buscaban aprovecharse de los desarrolladores que descargaban código para agilizar su trabajo.

Malware multifase que explota servicios en la nube: Entre las familias de malware más frecuentes en Europa figuraba el descargador Guloader, un troyano de primera fase utilizado por los atacantes para obtener acceso antes de distribuir el malware siguiente, que incluye infostealers y troyanos.

El malware de segunda fase suele almacenarse en aplicaciones de almacenamiento en la nube de confianza, como OneDrive y SharePoint, porque los empleados desprevenidos confían en estas aplicaciones conocidas. Remcos, el troyano de acceso remoto, y AgentTesla, el infostealer, también figuran entre las principales familias de malware utilizadas en Europa, y con frecuencia se usan junto con Guloader.

Las descargas de malware están aumentando en Europa tras su descenso en 2023: En general, las descargas de malware bajaron en Europa durante el año pasado, alcanzando su punto mínimo en la segunda mitad de 2023. Sin embargo, desde febrero de 2024, se observa un aumento constante, y Europa lidera actualmente la media mundial de descargas de malware en mayo de 2024. El abuso que se hace de las aplicaciones en la nube permite al malware pasar desapercibido en muchas organizaciones, eludiendo los controles de seguridad que dependen de herramientas heredadas, como las listas de bloqueo de dominios, o las que no inspeccionan todo el tráfico en la nube.

“Es interesante ver que los atacantes utilizan Guloader como primera fase de lanzamiento del malware. Guloader se aprovecha de servicios populares en la nube como OneDrive y Google Drive para liberar una carga maliciosa en una fase posterior del ataque”, comenta Paolo Passeri, responsable de ciberinteligencia de Netskope. “Este último informe pone aún más de relieve lo imprescindible que es que las empresas inspeccionen todo el tráfico de aplicaciones en la nube, con independencia de que se dirija hacia o desde un servicio en la nube de buena reputación. Seguimos viendo que los proveedores de seguridad recomiendan que el tráfico de OneDrive se excluya de la política de seguridad, y este informe demuestra lo poco aconsejable de esta medida”.

Threat Labs recomienda a las empresas europeas que repasen su postura de seguridad y hace varias recomendaciones de buenas prácticas para contrarrestar estas amenazas:

Inspeccionar todas las descargas HTTP y HTTPS, incluido todo el tráfico web y en la nube, para evitar que el malware se infiltre en la red. Hay que asegurar que, antes de ser descargados los tipos de archivos de alto riesgo, como los ejecutables y los archivos comprimidos, se inspeccionen minuciosamente mediante una combinación de análisis estáticos y dinámicos.

Configurar políticas para bloquear descargas y cargas de aplicaciones y procesos que no se utilizan en su organización para reducir la superficie de riesgo a solo aquellas que son necesarias para el negocio y minimizar el riesgo de exposición accidental o deliberada de datos por parte de personas internas o el abuso por parte de atacantes.

Utilizar un sistema de prevención de intrusiones (IPS) que pueda identificar y bloquear patrones de tráfico dañino, como el tráfico de comando y control asociado al malware más popular. El bloqueo de este tipo de comunicación puede evitar daños mayores al limitar la capacidad del atacante para realizar otras acciones.

Utilizar la tecnología de Aislamiento Remoto del Navegador (RBI) para disponer de protección adicional cuando exista la necesidad de visitar sitios web que pertenezcan a categorías que puedan presentar un mayor riesgo, como dominios de reciente aparición y recién registrados.