Il software-as-a-service nuovo obiettivo del ransomware

iCloud di Apple e Microsoft Outlook 365 tra i più vulnerabili

Le applicazioni Software-as-a-service (SaaS) sono un nuovo obiettivo per il ransomware, e hanno il più alto numero di vulnerabilità con exploit attivi.

“Abbiamo visto ransomware prendere di mira 12 prodotti SaaS con 47 vulnerabilità. Abbiamo anche scoperto che 19 di queste vulnerabilità ed esposizioni comuni (CVE) sono di tendenza tra il 2018 e il 2020”, ha sottolineato un rapporto di studio ‘Ransomware Through the Lens of Threat and Vulnerability Management’ di Cyber Security Works (CSW), con sede a Chennai, un’autorità ufficiale di numerazione CVE (CNA), insieme a RiskSense, una società che fornisce gestione delle vulnerabilità basata sul rischio.

Il rapporto mostra che i prodotti con la massima vulnerabilità sarebbero iCloud di Apple, Microsoft Outlook 365, Application Lifecycle management di HP, Fusion Middleware di Oracle, Adobe Air di Adobe, Lotus Domino di IBM e Notes. “Con l’aumento dell’uso di prodotti SaaS, prevediamo che gli attori delle minacce cercheranno le vulnerabilità inerenti a queste applicazioni e le armeranno sistematicamente”, secondo il rapporto.

Le vulnerabilità totali associate al ransomware sono quadruplicate da 57 nel 2019 a 223 nel 2020.

In genere, gli attacchi ransomware si infiltrano nelle applicazioni cloud attraverso l’uso di campagne di ingegneria sociale consegnate agli utenti via e-mail. Queste e-mail utilizzano tattiche diverse per manipolare i destinatari ad aprire allegati o link dannosi, spesso impersonando servizi di fiducia o contatti personali. Da qui, proprio come qualsiasi altro attacco ransomware, il dispositivo dell’utente viene compromesso dall’aggressore, rendendo tutti i suoi file importanti inaccessibili fino al pagamento di un riscatto – ma quando l’utente in questione è connesso al cloud, la minaccia non si ferma qui.

Gli hacker possono diffondere l’impatto a più utenti all’interno dell’azienda caricando un file infetto sul cloud. Questo può essere fatto in due modi; o l’hacker può sedersi e permettere a uno strumento come Backup & Sync di Google o OneDrive Sync di Office 365 di fare il lavoro per loro automaticamente, o se l’utente non ha la sincronizzazione dei file, possono usare le loro tattiche di ingegneria sociale per mettere le mani sulle credenziali dell’obiettivo, compromettere il loro account e caricare il file corrotto manualmente.

Da questo punto il malware ha il potenziale per crittografare ogni file all’interno del cloud storage, così come i dati on-premises di tutti gli utenti che cercano di scaricare i file infetti.

Gli attacchi ransoware ad applicazioni SaaS sono particolarmente gravi perché alcune organizzazioni ed utenti utilizzano servizi SaaS come backup delle loro applicazioni nei data center o dei loro PC.

CONDIVIDI QUESTO POST

Torna in alto