Netskope Threat Labs: GitHub lidera la lista de aplicaciones cloud utilizadas para la distribución de malware en el sector asegurador
Madrid, 8 de octubre de 2024 – Netskope Threat Labs acaba de publicar su último informe de investigación, dedicado a las amenazas de aplicaciones en la nube en el sector asegurador, que revela que GitHub es la aplicación más utilizada para distribuir malware. El informe también ha identificado un crecimiento constante en el uso de aplicaciones en la nube en el sector de los seguros, y ha analizado las principales familias de malware que se dirigen contra este sector.
Entre las principales conclusiones del informe se destacan:
- Adopción de aplicaciones en la nube:
- Los empleados del sector asegurador interactúan de forma habitual con una media de 24 aplicaciones en la nube al mes. Entre ellas, las más utilizadas son las herramientas de Microsoft, como OneDrive, Teams, SharePoint y Copilot. Estas últimas no sólo son las más utilizadas, sino que cubren una gran variedad de funcionalidades, como almacenamiento, correo electrónico y mensajería.
- Aunque Microsoft Teams, OneDrive y SharePoint se utilizan ampliamente en otras industrias, el sector de los seguros destaca por el hecho de que las aplicaciones de Microsoft dominan los seis primeros puestos.
- Las aplicaciones en la nube se utilizan abusivamente para la distribución de malware
- Entre las aseguradoras, las tres aplicaciones en la nube que más malware descargaron fueron GitHub, OneDrive y SharePoint.
- GitHub registró casi el doble de descargas de malware que otros sectores.
- Familias de malware más importantes:
- Las cinco principales familias de malware y ransomware que tuvieron como objetivo a usuarios del sector seguros en los últimos 12 meses son: Backdoor.Zusy (también conocido como TinyBanker); Downloader.BanLoad; Infostealer.AgentTesla; Trojan.Grandoreiro; y Phishing.PhishingX.
En relación con estos resultados, Paolo Passeri, director de Ciberinteligencia de Netskope, ha señalado:
“El protagonismo de GitHub como la aplicación en la nube más utilizada en el sector de los seguros es considerable, teniendo en cuenta el creciente uso indebido que hacen los actores de amenazas para realizar ataques a la cadena de suministro. Los atacantes crean cada vez más proyectos o paquetes dañinos, utilizando “typosquatting” para imitar el contenido legítimo y engañar a sus víctimas, y los alojan en GitHub. En algunos casos, los atacantes incluso comprometen proyectos auténticos, lo que supone una grave amenaza si un programa informático malicioso infecta un paquete de tecnología financiera.
Estos ataques pueden alcanzar a varias organizaciones a la vez, maximizando el rendimiento de las inversiones de los atacantes con un esfuerzo mínimo, lo que explica su creciente popularidad. A medida que GitHub gana adeptos tanto entre las organizaciones como entre los ciberdelincuentes, está llamado a reemplazar a las plataformas en la nube más tradicionalmente atacadas por los actores de amenazas, como Microsoft OneDrive, y a golpear también a otras industrias”.
Netskope Threat Labs recomienda a las empresas aseguradoras que revisen su postura de seguridad para garantizar que están adecuadamente protegidas frente a este tipo de ataques:
- Inspeccionar todas las descargas HTTP y HTTPS, incluyendo todo el tráfico web y en la nube, para evitar que el malware se infiltre en su red.
- Asegurarse de que los archivos de alto riesgo, como los ejecutables y los archivos comprimidos, se inspeccionan a fondo mediante una combinación de análisis estáticos y dinámicos antes de ser descargados.
- Configurar políticas para bloquear las descargas de aplicaciones e instancias que no se utilizan en su organización para reducir su superficie de riesgo a solo aquellas aplicaciones e instancias que son necesarias para el negocio.
- Configurar directivas para bloquear las cargas a aplicaciones e instancias que no se utilizan en la organización para reducir el riesgo de exposición accidental o deliberada de datos por parte de personas internas o el abuso por parte de atacantes.
- Utilizar un sistema de prevención de intrusiones (IPS) que pueda identificar y bloquear patrones de tráfico malicioso, como el tráfico de comando y control asociado con malware conocido. El bloqueo de este tipo de comunicación puede evitar daños mayores al limitar la capacidad del atacante para realizar acciones adicionales.
- Utilizar la tecnología de Aislamiento Remoto del Navegador (RBI) para proporcionar protección adicional cuando exista la necesidad de visitar direcciones web que pertenezcan a categorías que puedan presentar un mayor nivel de riesgo, como dominios recién observados y recién registrados.