Rapporti recenti mostrano che gli hacker utilizzano Microsoft Teams per diffondere malware. Gli attacchi vengono eseguiti allegando file .exe alle chat di Teams per installare un trojan sul computer dell'utente finale. Il Trojan viene quindi utilizzato per installare malware. Lookout elenca possibili tattiche e contromisure.
“La prima tattica utilizzata dagli hacker è ottenere le credenziali Microsoft 365 dai dipendenti, che darebbero loro accesso a tutte le applicazioni della suite Microsoft. I dati di Lookout mostrano che gli aggressori accedono principalmente agli utenti tramite canali mobili come SMS, piattaforme di social media, app di messaggistica di terze parti, giochi e persino app di appuntamenti. Secondo i dati di Lookout, una media del 2021% degli utenti aziendali è stata esposta ad attacchi di phishing ogni trimestre nel 15,5. Per fare un confronto: nel 2020 il numero era del 10,25%. Il phishing è chiaramente un problema crescente per ogni azienda.
Microsoft 365 come ampio fronte di attacco
Poiché Microsoft 365 è una piattaforma così diffusa, non è molto difficile per gli aggressori creare campagne di ingegneria sociale che prendono di mira gli utenti che utilizzano file di Word dannosi e pagine di accesso false. La seconda tattica consiste nell'utilizzare una terza parte, ad es. B. compromettere un appaltatore per ottenere l'accesso alla piattaforma Teams dell'azienda. Ciò dimostra quanto sia importante sottoporre ogni software, persona e team di terze parti a un controllo di sicurezza dettagliato per garantirne la sicurezza.
Quanto sono gravi questi attacchi?
Secondo lo studio di Lookout, un attacco riuscito potrebbe portare a una completa acquisizione del dispositivo. Poiché esiste un'alta probabilità che un utente malintenzionato abbia inizialmente ottenuto l'accesso tramite phishing, alla fine potrebbe ottenere un dispositivo attendibile e credenziali attendibili. Questa è una combinazione dannosa che potrebbe consentire a un utente malintenzionato di accedere a tutti i dati a cui l'utente e il dispositivo hanno accesso.
Una volta che l'aggressore è penetrato nell'infrastruttura, può spostarsi lateralmente e scoprire dove sono nascoste le risorse più preziose. Da lì, potrebbe crittografare quei dati per lanciare un attacco ransomware o esfiltrarli per venderli nel dark web. Questa catena di attacchi è il motivo per cui le organizzazioni necessitano di visibilità e controllo degli accessi agli utenti, ai loro dispositivi, alle applicazioni a cui vogliono accedere e ai dati archiviati su di essi.
Squadre: misure di sicurezza consigliate
La natura di questo attacco dimostra l'importanza di proteggere tutti gli endpoint, le risorse cloud e le applicazioni locali o private nell'intera infrastruttura aziendale. Sta diventando sempre più difficile tenere traccia del modo in cui utenti e dispositivi interagiscono con applicazioni e dati man mano che il perimetro di rete scompare come confine tradizionale dell'ambiente aziendale. Pertanto, è necessario l'uso di una piattaforma unificata che tenga conto sia degli endpoint mobili che dei PC, nonché dei servizi cloud e delle applicazioni private o installate on-prem. È l'unico modo per fornire il livello richiesto di visibilità e protezione dal panorama delle minacce moderne di oggi.
Per stare al passo con gli aggressori che cercano di sfruttare questa catena di attacchi, le organizzazioni di tutto il mondo dovrebbero implementare la sicurezza per i dispositivi mobili con Mobile Threat Defense (MTD) e proteggere i servizi cloud con Cloud Access Security Broker (CASB). Devono inoltre monitorare il traffico web con un Secure Web Gateway (SWG) e implementare politiche di sicurezza moderne per le loro applicazioni on-prem o private con Zero Trust Network Access (ZTNA).
Gli attacchi alle piattaforme utilizzano tattiche simili
Gli attacchi mirati a piattaforme specifiche hanno le loro sfumature, ma le tattiche generali sono ovviamente molto simili. I canali pubblici possono essere gestiti anche in Slack e Teams, in cui non è necessario far parte dell'azienda per partecipare. Ciò rappresenta un enorme rischio per l'azienda, sia per l'accesso non autorizzato che per la perdita di dati. Le tattiche per ottenere l'accesso a queste due piattaforme, così come alle piattaforme di collaborazione e ad altre applicazioni, sono generalmente abbastanza simili. Il fatto è che il phishing è oggi l'opzione più praticabile per gli attori delle minacce.
Se un utente malintenzionato dispone di credenziali legittime per accedere alle applicazioni aziendali, è meno probabile che venga notato e fermato. Le organizzazioni hanno quindi bisogno di una strategia di sicurezza modernizzata in grado di rilevare accessi anomali, attività sui file e comportamento degli utenti".
Altro su Lookout.com
A proposito di Lookout I co-fondatori di Lookout John Hering, Kevin Mahaffey e James Burgess si sono riuniti nel 2007 con l'obiettivo di proteggere le persone dai rischi per la sicurezza e la privacy posti da un mondo sempre più connesso. Ancor prima che gli smartphone fossero nelle tasche di tutti, si sono resi conto che la mobilità avrebbe avuto un profondo impatto sul modo in cui lavoriamo e viviamo.