Netskope Threat Labs hat seinen neuesten Research Report mit Fokus auf den europäischen Markt veröffentlicht. Der Bericht zeigt, dass europäische Unternehmen mehr Malware aus der Cloud erhalten als andere Märkte – obwohl sie im Durchschnitt weniger Cloud-Anwendungen nutzen. Mehrstufige Malware-Familien wie Guloader sind in Europa am weitesten verbreitet, da Bedrohungsakteure versuchen, beliebte Cloud-Dienste auszunutzen.
Die wichtigsten Ergebnisse sind:
- Die Popularität von Microsoft zieht die Aufmerksamkeit der Angreifer auf sich: Europa zeigt eine starke Vorliebe für Microsoft-Apps. Hier sind Microsoft OneDrive (52 %), SharePoint (33 %), Teams (24 %) und Outlook (20 %) die vier täglich am häufigsten genutzten Cloud-Apps. Angreifer haben diese Beliebtheit erkannt, so dass OneDrive und Sharepoint (auch der Dateifreigabedienst, der von Teams genutzt wird) die meistgenutzten Quellen für Malware-Downloads in Europa sind.
- Die Anzahl der Malware-Downloads von Microsoft OneDrive basiert auf dem Missbrauch von OneDrive zur Verbreitung von Malware seitens der Angreifer und dem Verhalten der Opfer, die aufgrund ihrer Vertrautheit mit der App mit hoher Wahrscheinlichkeit auf die Links klicken und die Malware herunterladen.
- Github lag bei den Malware-Downloads an dritter Stelle, da die Kriminellen gezielt Entwickler angriffen, die Code herunterladen, um ihre Arbeit zu beschleunigen.
- Mehrstufige Malware, die Cloud-Dienste nutzt: Zu den häufigsten Malware-Familien, die auf Opfer in Europa abzielten, gehörte der Downloader Guloader, ein Trojaner der ersten Stufe, der von Angreifern verwendet wird, um sich Zugang zu verschaffen, bevor sie nachfolgende Malware wie Infostealer und Trojaner ausliefern.
- Die Malware der zweiten Stufe wird häufig in vertrauenswürdigen Cloud-Speicheranwendungen wie OneDrive und SharePoint gespeichert, da ahnungslose Mitarbeiter diesen alltäglichen Anwendungen vertrauen.
- Der Fernzugriffstrojaner Remcos und der Infostealer AgentTesla gehörten ebenfalls zu den Top-Malware-Familien in Europa und werden häufig in Verbindung mit Guloader eingesetzt.
- Nach einem Rückgang im Jahr 2023 steigen die Malware-Downloads in Europa nun wieder an: Insgesamt gingen die Malware-Downloads in Europa im vergangenen Jahr zurück und erreichten in der zweiten Hälfte des Jahres 2023 einen Tiefpunkt. Seit Februar 2024 ist jedoch ein kontinuierlicher Anstieg zu verzeichnen, wobei Europa derzeit (Stand Mai 2024) den weltweiten Durchschnitt der Malware-Downloads anführt.
- Der Missbrauch von Cloud-Apps ermöglicht es Malware, in vielen Unternehmen unter dem Radar zu fliegen und Sicherheitskontrollen zu umgehen, die sich auf ältere Tools wie Domain-Blockierlisten stützen oder die nicht den gesamten Cloud-Verkehr untersuchen.
„Es ist interessant zu sehen, dass Angreifer Guloader als Malware-Dropper der ersten Stufe verwenden. Guloader nutzt beliebte Cloud-Dienste wie OneDrive und Google Drive, um in einer späteren Phase des Angriffs eine Schadsoftware zu verbreiten,“ sagt Paolo Passeri, Cyber Intelligence Principal bei Netskope. „Unsere jüngste Analyse unterstreicht einmal mehr, wie wichtig es für Unternehmen ist, den gesamten Cloud-App-Verkehr zu überprüfen – unabhängig davon, ob er zu oder von einem renommierten Cloud-Dienst geleitet wird. Deshalb sollte der OneDrive-Datenverkehr unbedingt in die Sicherheitsrichtlinien integriert werden.“
Netskope Threat Labs empfiehlt europäischen Unternehmen, ihre Sicherheitslage zu überprüfen und gibt mehrere Empfehlungen für Best Practices, um diesen Bedrohungen zu begegnen:
- Überprüfen Sie alle HTTP- und HTTPS-Downloads, einschließlich des gesamten Web- und Cloud-Datenverkehrs, um zu verhindern, dass Malware in Ihr Netzwerk eindringt.
- Stellen Sie sicher, dass risikoreiche Dateitypen wie ausführbare Dateien und Archive mit einer Kombination aus statischer und dynamischer Analyse gründlich überprüft werden, bevor sie heruntergeladen werden.
- Konfigurieren Sie Richtlinien, um Downloads und Uploads von Anwendungen und Instanzen zu blockieren, die in Ihrem Unternehmen nicht verwendet werden. So reduzieren Sie die Risikooberfläche auf die Anwendungen und Instanzen, die für das Unternehmen notwendig sind, und minimieren das Risiko einer versehentlichen oder absichtlichen Datenpreisgabe durch Insider oder Missbrauch durch Angreifer.
- Verwenden Sie ein Intrusion Prevention System (IPS), das bösartige Datenverkehrsmuster erkennen und blockieren kann, z. B. Befehls- und Kontrolldatenverkehr im Zusammenhang mit gängiger Malware. Die Blockierung dieser Art von Kommunikation kann weiteren Schaden verhindern, indem die Möglichkeiten des Angreifers zur Durchführung weiterer Aktionen eingeschränkt werden.
- Verwenden Sie die Remote Browser Isolation (RBI)-Technologie, um zusätzlichen Schutz zu bieten, wenn Websites besucht werden müssen, die in Kategorien fallen, die ein höheres Risiko darstellen können, wie neu beobachtete und neu registrierte Domains.
Über den Report:
Die Untersuchung von Netskope Threat Labs basiert auf anonymisierten Nutzungsdaten, die von einer europäischen Untergruppe der mehr als 3.000 Netskope-Kunden gesammelt wurden, die alle ihre vorherige Zustimmung zur Analyse ihrer Daten auf diese Weise gegeben haben.
Den vollständigen “Netskope Threat Labs Report Europa” finden Sie hier.
(vp/Netskope)