Ein aktueller Bericht zeigt, dass europäische Unternehmen mehr Malware aus der Cloud erhalten als andere Märkte – obwohl sie im Durchschnitt weniger Cloud-Anwendungen nutzen. Mehrstufige Malware-Familien wie Guloader sind in Europa am weitesten verbreitet, da Bedrohungsakteure versuchen, beliebte Cloud-Dienste auszunutzen.
Die Popularität von Microsoft zieht die Aufmerksamkeit der Angreifer auf sich: Europa zeigt eine starke Vorliebe für Microsoft-Apps. Hier sind Microsoft OneDrive (52 %), SharePoint (33 %), Teams (24 %) und Outlook (20 %) die vier täglich am häufigsten genutzten Cloud-Apps. Angreifer haben diese Beliebtheit erkannt, so dass OneDrive und Sharepoint (auch der Dateifreigabedienst, der von Teams genutzt wird) die meistgenutzten Quellen für Malware-Downloads in Europa sind.
- Die Anzahl der Malware-Downloads von Microsoft OneDrive basiert auf dem Missbrauch von OneDrive zur Verbreitung von Malware seitens der Angreifer und dem Verhalten der Opfer, die aufgrund ihrer Vertrautheit mit der App mit hoher Wahrscheinlichkeit auf die Links klicken und die Malware herunterladen.
- Github lag bei den Malware-Downloads an dritter Stelle, da die Kriminellen gezielt Entwickler angriffen, die Code herunterladen, um ihre Arbeit zu beschleunigen.
Mehrstufige Malware, die Cloud-Dienste nutzt
Zu den häufigsten Malware-Familien, die auf Opfer in Europa abzielten, gehörte der Downloader Guloader, ein Trojaner der ersten Stufe, der von Angreifern verwendet wird, um sich Zugang zu verschaffen, bevor sie nachfolgende Malware wie Infostealer und Trojaner ausliefern.
- Die Malware der zweiten Stufe wird häufig in vertrauenswürdigen Cloud-Speicheranwendungen wie OneDrive und SharePoint gespeichert, da ahnungslose Mitarbeiter diesen alltäglichen Anwendungen vertrauen.
- Der Fernzugriffstrojaner Remcos und der Infostealer AgentTesla gehörten ebenfalls zu den Top-Malware-Familien in Europa und werden häufig in Verbindung mit Guloader eingesetzt.
Malware-Downloads in Europa ziehen an
Nach einem Rückgang im Jahr 2023 steigen die Malware-Downloads in Europa nun wieder an: Insgesamt gingen die Malware-Downloads in Europa im vergangenen Jahr zurück und erreichten in der zweiten Hälfte des Jahres 2023 einen Tiefpunkt. Seit Februar 2024 ist jedoch ein kontinuierlicher Anstieg zu verzeichnen, wobei Europa derzeit (Stand Mai 2024) den weltweiten Durchschnitt der Malware-Downloads anführt.
- Der Missbrauch von Cloud-Apps ermöglicht es Malware, in vielen Unternehmen unter dem Radar zu fliegen und Sicherheitskontrollen zu umgehen, die sich auf ältere Tools wie Domain-Blockierlisten stützen oder die nicht den gesamten Cloud-Verkehr untersuchen.
Malware-Dropper Guloader beliebte Cloud-Dienste
„Es ist interessant zu sehen, dass Angreifer Guloader als Malware-Dropper der ersten Stufe verwenden. Guloader nutzt beliebte Cloud-Dienste wie OneDrive und Google Drive, um in einer späteren Phase des Angriffs eine Schadsoftware zu verbreiten,“ sagt Paolo Passeri, Cyber Intelligence Principal bei Netskope. „Unsere jüngste Analyse unterstreicht einmal mehr, wie wichtig es für Unternehmen ist, den gesamten Cloud-App-Verkehr zu überprüfen – unabhängig davon, ob er zu oder von einem renommierten Cloud-Dienst geleitet wird. Deshalb sollte der OneDrive-Datenverkehr unbedingt in die Sicherheitsrichtlinien integriert werden.“
Die Untersuchung von Netskope Threat Labs basiert auf anonymisierten Nutzungsdaten, die von einer europäischen Untergruppe der mehr als 3.000 Netskope-Kunden gesammelt wurden, die alle ihre vorherige Zustimmung zur Analyse ihrer Daten auf diese Weise gegeben haben.
Mehr bei Netskope.com
Über Netskope Der SASE-Spezialist Netskope verbindet Benutzer sicher, schnell und direkt mit dem Internet, jeder Anwendung und ihrer Infrastruktur von überall und auf jedem Gerät. Mit einer Plattform, die CASB, SWG und ZTNA vereint, bietet die Netskope Security Cloud mittels patentierter Technologie den granularsten Kontext, um Zugangskontrolle und Benutzer-Awareness zu ermöglichen und gleichzeitig Zero-Trust-Prinzipien für Datenschutz und Bedrohungsabwehr durchzusetzen. Während andere Anbieter Kompromisse zwischen Sicherheit und Netzwerk eingehen, ermöglicht die globale Security Private Cloud von Netskope eine vollständige Berechnung für eine Inline-Traffic-Verarbeitung in Echtzeit direkt an jedem Servicepunkt.