Tra gli effetti più evidenti della digitalizzazione a cui abbiamo assistito negli ultimi tempi, c’è sicuramente la crescente diffusione presso le aziende di strumenti di collaborazione nel cloud. Organizzazioni di ogni settore e dimensione hanno scelto questo approccio e gli attaccanti li hanno rapidamente seguiti. Negli ultimi mesi abbiamo osservato una decisa accelerazione da parte dei cybercriminali che abusano delle più note piattaforme di Microsoft e Google per ospitare e inviare minacce attraverso Office 365, Azure, OneDrive, SharePoint, G-Suite e l’archiviazione Firebase.
Lo scorso anno, quasi 60 milioni (59.809.708 per la precisione) di messaggi pericolosi da Microsoft Office 365 hanno preso di mira migliaia di nostri clienti. E più di 90 milioni di messaggi malevoli sono stati inviati o ospitati da Google, con il 27% inviato attraverso Gmail, senza dubbio la piattaforma e-mail più popolare al mondo. Nel Q1 2021, abbiamo osservato 7 milioni di messaggi pericolosi provenire da Microsoft Office 365 e 45 milioni dalla piattaforma Google, numero che segna un deciso aumento rispetto alla media degli attacchi portati via Google nel corso del 2020.
Il volume di messaggi proveniente da questi noti servizi cloud ha superato quello di qualsiasi botnet nel 2020, e la reputazione seria di questi domini, tra cui anche outlook.com e sharepoint.com, aumenta la difficoltà di rilevamento per i difensori.
Questa percezione di autenticità è essenziale, poiché l’e-mail ha recentemente riconquistato il suo status di vettore principale per il ransomware e i cybercriminali sfruttano sempre più la supply chain e l’ecosistema dei partner per compromettere account, rubare credenziali e dirottare somme di denaro. Proofpoint ha recentemente pubblicato una ricerca sulla supply chain, secondo cui il 98% di quasi 3.000 organizzazioni monitorate tra Stati Uniti, nel Regno Unito e in Australia, ha ricevuto una minaccia dal dominio di un fornitore in soli 7 giorni nel febbraio 2021.
Dato il livello di accesso garantito anche da un singolo account, nell’ultimo anno gli attaccanti hanno preso di mira il 95% delle organizzazioni con tentativi di compromissione degli account cloud, in più della metà dei casi con successo. Tra chi è stato colpito, oltre il 30% ha subito attività post-accesso, tra cui manipolazione di file, inoltro di e-mail e attività OAuth. Se le credenziali vengono rubate, gli autori delle minacce possono sfruttarle per accedere ai sistemi sotto mentite spoglie, muoversi lateralmente tra più servizi cloud e ambienti ibridi e inviare e-mail convincenti spacciandosi per un vero dipendente, architettando potenziali perdite finanziarie e di dati.
Il blog completo, con esempi di attacchi portati alle piattaforme di Microsoft e Google è disponibile a questo link.
