Negli ultimi mesi abbiamo osservato una decisa accelerazione da parte dei cybercriminali che abusano delle più note piattaforme di Microsoft e Google per ospitare e inviare minacce attraverso Office 365, Azure, OneDrive, SharePoint, G-Suite e l’archiviazione Firebase.
D’altra parte, tra gli effetti più evidenti della digitalizzazione a cui abbiamo assistito negli ultimi tempi, c’è sicuramente la crescente diffusione presso le aziende di strumenti di collaborazione nel cloud. Organizzazioni di ogni settore e dimensione hanno scelto questo approccio e gli attaccanti li hanno rapidamente seguiti.
Lo scorso anno, quasi 60 milioni (59.809.708 per la precisione) di messaggi pericolosi da Microsoft Office 365 hanno preso di mira migliaia i clienti di Proofpoint. E più di 90 milioni di messaggi malevoli sono stati inviati o ospitati da Google, con il 27% inviato attraverso Gmail, senza dubbio la piattaforma e-mail più popolare al mondo.
Nel Q1 2021, abbiamo osservato 7 milioni di messaggi pericolosi provenire da Microsoft Office 365 e 45 milioni dalla piattaforma Google, numero che segna un deciso aumento rispetto alla media degli attacchi portati via Google nel corso del 2020.
Microsoft e Google: i cyber criminali giocano sulla percezione di autenticità
Il volume di messaggi proveniente da questi noti servizi cloud ha superato quello di qualsiasi botnet nel 2020, e la reputazione seria di questi domini, tra cui anche outlook.com e sharepoint.com, aumenta la difficoltà di rilevamento per i difensori.
Questa percezione di autenticità è essenziale, poiché l’e-mail ha recentemente riconquistato il suo status di vettore principale per il ransomware e i cybercriminali sfruttano sempre più la supply chain e l’ecosistema dei partner per compromettere account, rubare credenziali e dirottare somme di denaro. Proofpoint ha recentemente pubblicato una ricerca sulla supply chain, secondo cui il 98% di quasi 3.000 organizzazioni monitorate tra Stati Uniti, nel Regno Unito e in Australia, ha ricevuto una minaccia dal dominio di un fornitore in soli 7 giorni nel febbraio 2021.
Dato il livello di accesso garantito anche da un singolo account, nell’ultimo anno gli attaccanti hanno preso di mira il 95% delle organizzazioni con tentativi di compromissione degli account cloud, in più della metà dei casi con successo. Tra chi è stato colpito, oltre il 30% ha subito attività post-accesso, tra cui manipolazione di file, inoltro di e-mail e attività OAuth. Se le credenziali vengono rubate, gli autori delle minacce possono sfruttarle per accedere ai sistemi sotto mentite spoglie, muoversi lateralmente tra più servizi cloud e ambienti ibridi e inviare e-mail convincenti spacciandosi per un vero dipendente, architettando potenziali perdite finanziarie e di dati.
