La adopción de aplicaciones en la nube sigue aumentando en Europa, lo que incrementa la cantidad de datos que se mueven en los entornos cloud y, consecuentemente, el interés de los ciberdelincuentes por abusar de estas apps para distribuir malware. Esta es una de las primeras conclusiones del Laboratorio de Amenazas de Netskope recientemente publicado.
En el último año y en Europa la adopción de la nube por parte de las empresas ha aumentado un 29 %. Por otra parte, mientras que el usuario medio interactúa con 18 aplicaciones al mes, el 1% de los usuarios más avanzados interactúa con 79 aplicaciones cada mes. El malware distribuido en la nube aumentó significativamente, pasando del 33 % en febrero de 2022, al 53 % en enero de 2023, liderado principalmente desde las aplicaciones Microsoft One Drive y Google Drive.
Según se indica en el informe, los ciberdelincuentes intentan propagar contenido malicioso abusando de aplicaciones en la nube que les permitan eludir controles de seguridad basados en lista de bloqueo de dominios y filtrado de URL, o que no inspeccionan el tráfico en la nube. Los troyanos, habitualmente utilizados por los ciberdelincuentes para introducirse en la infraestructura en la nube de una empresa y distribuir otros tipos de malware, fue la amenaza más popular en Europa, representando el 79 % de todo el malware detectado durante los últimos 12 meses. A ésta le siguen exploits basados en archivos, puertas traseras, ransomware y programas de descarga.
Una vez dentro de las infraestructuras de los clientes, el malware contacta con servidores de Comando y Control (C2), para recibir instrucciones. En su estudio, Netskope ha detectado que el 45 % de las comunicaciones de comando y Control en Europa procedían del malware Remcos, un troyano de acceso remoto que en su origen fue una herramienta comercial para luego convertirse en arma de los ciberdelincuentes. Por sus capacidades, este malware tiene opciones de acceso remoto y una sencilla interfaz gráfica de usuario administrador. Además, el troyano bancario Ursnif (conocido como Gozi), que está evolucionando para su uso como ransomware, fue 7,5 veces más común en nuestro continente.
En opinión de Ray Canzanese, responsable de Netskope Threat Labs, hay tres cosas que las empresas deberían hacer para contrarrestar estas amenazas: en primer lugar, inspeccionar todo el tráfico web y en la nube, incluidas las descargas HTTP y HTTPS y todos los tipos de archivos «de riesgo», para evitar que el malware se infiltre en la red; en segundo lugar, configurar políticas para bloquear todas las descargas y cargas de aplicaciones no aprobadas oficialmente por su organización y así reducir la superficie de riesgo; por último, utilizar un sistema de prevención de intrusiones (IPS) para identificar y bloquear los patrones de tráfico malicioso y ayudar a prevenir daños mayores limitando la capacidad de los atacantes para realizar funciones adicionales.
