Office 365 e Gmail sono le nuove piattaforme preferite dai cybercriminali

Hacker Typing
(Immagine:: Shutterstock)

Secondo una ricerca di Proofpoint (Si apre in una nuova scheda), da quando molte aziende e privati sono passati ai servizi di cloud computing e ai software di gestione aziendale (Si apre in una nuova scheda) per organizzare il lavoro a distanza, i cybercriminali  hanno modificato i loro metodi d'attacco per adattarsi al cambiamento. 

Negli ultimi mesi, l'azienda specializzata in cybersicurezza ha osservato un picco di attacchi che sfruttano le infrastrutture Google e Microsoft, passando per servizi come Office 365, Azure, OneDrive, SharePoint, G-Suitee Firebase.

Nel solo 2020 sono state inviate più di 59 milioni di email infette tramite Microsoft Office 365 e oltre 90 milioni attraverso i servizi Google; di queste, il 27% è passato per Gmail. Nel primo trimestre del 2021, Proofpoint ha rilevato sette milioni di messaggi nocivi inviati con Office 365 e 45 milioni diffusi tramite le infrastrutture Google.

Come se non bastasse, lo scorso anno il volume di messaggi infetti inviati tramite i servizi di cloud più diffusi ha superato quello delle botnet. La causa principale sta nel fatto che Microsoft e Google sono aziende con un elevato livello di credibilità ed è più facile che una vittima apra un messaggio infetto che arriva da una piattaforma di cui si fida. 

Comprometti e conquista

Da quando le mail sono tornate a essere il vettore principale per i ransomware, i cybercriminali si stanno concentrando principalmente sulle catene di distribuzione e sugli ecosistemi aziendali per compromettere gli account di grandi aziende, rubando credenziali e dati importanti per poi chiedere riscatti milionari.

Stando a un recente report (Si apre in una nuova scheda) di Proofpoint incentrato sugli ecosistemi aziendali, il 98 percento di 3,000 organizzazioni sparse tra Stati Uniti, UK e Australia, nel solo mese di febbraio, in una settimana, hanno ricevuto almeno una mail infetta dall'indirizzo di un fornitore.

Anche un solo account compromesso può dare accesso a dati di importanza vitale per l'azienda e stando al report, nel 2020, il 95% degli attacchi è stato rivolto a organizzazioni che utilizzano servizi cloud, e almeno un'azienda su due ha subito danni da questi attacchi. Tra le aziende colpite, più del 30 percento ha subito manipolazione dei file, invio di email nocive e attività OAuth. 

Una volta ottenute le credenziali di un account aziendale, i cybercriminali possono accedere al sistema come impostori, spostandosi tra diversi servizi cloud e ambienti ibridi e inviando email nocive spacciandosi per dipendenti dell'azienda. 

Ryan Kalember di Proofpoint ha fornito ulteriori dettagli sui dati rilevati dall'azienda in un post (Si apre in una nuova scheda) pubblicato sul suo blog:

“La nostra ricerca dimostra che gli attaccanti utilizzano le infrastrutture Microsoft e Google per disseminare messaggi nocivi e colpire aziende e privati tramite strumenti di lavoro popolari. Se si aggiungono i ransomware, le catene di distribuzione e gli account cloud compromessi, la protezione avanzata delle email va considerata una priorità assoluta per chi lavora nell'ambito della sicurezza.” 

After working with the TechRadar Pro team for the last several years, Anthony is now the security and networking editor at Tom’s Guide where he covers everything from data breaches and ransomware gangs to the best way to cover your whole home or business with Wi-Fi. When not writing, you can find him tinkering with PCs and game consoles, managing cables and upgrading his smart home.