Netskope: il settore finanziario tra i più colpiti dai gruppi ransomware


Netskope ha rilasciato un nuovo report che prende in esame l’adozione di applicazioni cloud nel settore dei servizi finanziari e l’abuso per eludere i controlli di sicurezza negli attacchi malware e ransomware

ransomware

Dall’ultima ricerca pubblicata dai Netskope Threat Labs emerge che il settore finanziario rimane tra i principali settori presi di mira dai gruppi ransomware.

Il report di Netskope esamina la crescente adozione di applicazioni cloud nel settore dei servizi finanziari negli ultimi 12 mesi e il loro preoccupante abuso per eludere i controlli di sicurezza negli attacchi malware e ransomware. 

Di seguito i principali risultati emersi dalla ricerca:

  • L’utente medio nel settore dei servizi finanziari interagisce con una media di 23 applicazioni cloud al mese, una cifra superiore a quella di tutti gli altri settori. L’1% degli utenti più attivi ha interagito con 93 applicazioni al mese.

  • Le applicazioni cloud di Microsoft dominano il settore finanziario: Microsoft OneDrive, Microsoft Teams e Sharepoint sono tra le applicazioni più popolari nel settore dei servizi finanziari, con Microsoft Teams molto più popolare rispetto ad altri settori (dove domina Microsoft OneDrive).

  • Obiettivi mutevoli per i download di malware: OneDrive, Github e SharePoint sono le tre applicazioni più popolari per i download di malware nel settore dei servizi finanziari, trovandosi costantemente in cima alla lista da settembre 2023.

    • Gli utenti dei servizi finanziari scaricano malware da GitHub e Microsoft SharePoint più frequentemente rispetto agli utenti di altri settori.

    • Sharepoint è risultato più predominante nella finanza che in altri settori grazie alla popolarità di Microsoft Teams che utilizza Sharepoint per la condivisione di file.

  • Obiettivo principale degli attacchi ransomware: il settore finanziario rimane uno dei settori più colpiti dai gruppi ransomware, con i trojan utilizzati come meccanismo di attacco principale per indurre gli utenti del settore finanziario a scaricare altri payload di malware. In particolare, la banda ransomware Clopp è risultata particolarmente attiva nella seconda metà del 2023, sfruttando la vulnerabilità CVE-2023-34362 MOVEit.

    • Anche LockBit si è attestato come un’importante famiglia di ransomware che ha preso di mira principalmente il settore finanziario: recentemente è stato bloccato dalle forze dell’ordine.

Commentando i risultati del report, Paolo Passeri, Cyber Intelligence Principal di Netskope ha dichiarato;

È evidente che le principali tendenze relative all’uso e all’abuso delle applicazioni cloud per il settore finanziario sono rimaste costanti nell’ultimo anno. Ciò che è interessante notare è che il settore finanziario rimane uno dei settori più preso di mira dai gruppi ransomware che si concentrano sullo sfruttamento delle vulnerabilità su larga scala. I dati fanno riflettere sul fatto che ogni organizzazione dovrebbe prendersi il tempo necessario per valutare e proteggere la propria infrastruttura e che semplici errori operativi possono esporre a minacce significative”.

Il malware distribuito nel cloud rappresenta il 50% dei download di malware nel settore finanziario, in linea con altri settori, data la capacità degli attaccanti di eludere i controlli di sicurezza che si basano su strumenti come liste di domini bloccati e monitoraggio del traffico web ma non applicano principi di zero trust per ispezionare regolarmente il traffico cloud.

Il report si basa su dati di utilizzo anonimizzati raccolti su un sottoinsieme di aziende operanti nel settore finanziario tra gli oltre 2.500 clienti di Netskope, che hanno concesso autorizzazione preventiva affinché i loro dati vengano analizzati.

Per consultare il report completo con ulteriori dati emersi:

https://www.netskope.com/resources/threat-labs-reports/threat-labs-report-financial-services-2024