Evento di Lancio: Smart AI Security. Controllo Totale dei Dati. Prenota il tuo posto

chiudere
lente d'ingrandimento
Inizia Ora
lente d'ingrandimento
gallone
Appoggiare Lingua
chiudere
La tua rete di domani
La tua rete di domani
Pianifica il tuo percorso verso una rete più veloce, sicura e resiliente, progettata per le applicazioni e gli utenti che supporti.
gallone Scarica il white paper
Experience Netskope
Prova direttamente la piattaforma Netskope
Ecco la tua occasione per sperimentare in prima persona la piattaforma single-cloud di Netskope One. Iscriviti a laboratori pratici e a ritmo autonomo, unisciti a noi per dimostrazioni mensili di prodotti dal vivo, fai un test drive gratuito di Netskope Private Access o partecipa a workshop dal vivo guidati da istruttori.
gallone Experience Netskope
Un leader in SSE. Ora è un leader nel settore SASE a singolo fornitore.
Netskope è riconosciuto come Leader Più Lontano in Visione sia per le piattaforme SSE che SASE
2 volte leader nel Quadrante Magico di Gartner® per piattaforme SASE
Una piattaforma unificata costruita per il tuo percorso
gallone Scarica il Report
Securing Generative AI for Dummies
Securing Generative AI for Dummies
Scopri come la tua organizzazione può bilanciare il potenziale innovativo dell'AI generativa con pratiche solide di sicurezza dei dati.
gallone Scarica l'eBook
eBook sulla Modern Data Loss Prevention (DLP) for Dummies
Modern Data Loss Prevention (DLP) for Dummies
Ricevi consigli e trucchi per passare a un DLP fornito dal cloud.
gallone Scarica l'eBook
Modern SD-WAN for SASE Dummies Book
Modern SD-WAN for SASE Dummies
Smettila di inseguire la tua architettura di rete
gallone Scarica l'eBook
Comprendere dove risiede il rischio
Advanced Analytics trasforma il modo in cui i team di operazioni di sicurezza applicano insight basati sui dati per implementare policy migliori. Con l'Advanced Analytics, puoi identificare tendenze, concentrarti sulle aree di interesse e utilizzare i dati per agire.
gallone Guarda la demo
2025-10-UZTNA-ebook
6 motivi per cui Universal ZTNA è una via di fuga intelligente dal caos VPN e NAC
Abbandona la complessità delle VPN e del NAC. Scopri come Universal ZTNA protegge ogni utente e dispositivo con un framework coerente.
gallone Scarica l'eBook
Colgate-Palmolive protegge la propria "proprietà intellettuale" con una protezione dei dati intelligente e adattabile
Colgate-Palmolive protegge la propria "proprietà intellettuale" con una protezione dei dati intelligente e adattabile
gallone Leggi il caso di studio
Netskope GovCloud
Netskope ottiene l'autorizzazione FedRAMP High
Scegli Netskope GovCloud per accelerare la trasformazione della tua agenzia.
gallone Scopri Netskope GovCloud
Supporto tecnico Netskope
Supporto tecnico Netskope
I nostri ingegneri di supporto qualificati sono dislocati in tutto il mondo e possiedono competenze diversificate in sicurezza cloud, networking, virtualizzazione, content delivery e sviluppo software, garantendo un'assistenza tecnica tempestiva e di qualità.
gallone Supporto tecnico
Video Netskope
Formazione Netskope
La formazione Netskope ti aiuterà a diventare un esperto di sicurezza cloud. Siamo qui per aiutarti a proteggere il tuo percorso di trasformazione digitale e a sfruttare al meglio le tue applicazioni cloud, web e private.
gallone Esplora l'addestramento Netskope
""
Massimizza il tuo ROI SASE con Netskope Business Value Services
Start proving ROI. Netskope BVS is a complimentary consulting service that quantifies the financial and strategic impact of your SASE transformation.
gallone Request a consultation
Facciamo grandi cose insieme
""
La strategia go-to-market incentrata sui partner di Netskope permette ai nostri partner di massimizzare la loro crescita e redditività, trasformando al contempo la sicurezza aziendale.
gallone Netskope Partners
Cloud and Threat Report

Rapporto sulle nuvole e sulle minacce 2024

Questo rapporto esplora l'evoluzione degli ambienti cloud aziendali e del panorama delle minacce, evidenziando le tendenze predominanti del 2023 e offrendo previsioni su quali di esse proseguiranno nel 2024.

Condividi via Tag
Rapporti su Cloud e Minacce Next Gen Secure Web Gateway Threat Protection
Cambia la lingua
Inglese

Salta a una sezione

Sommario esecutivo Punti salienti del reportage Uso di cloud e app SaaS in crescita Le app di intelligenza artificiale generativa sono in ascesa Ingegneria sociale
Trojan Phishing
Profili e obiettivi degli avversari
TA551 Ragno Mago TA505 APT41 Earth Lusca
Raccomandazioni Informazioni su questo rapporto Netskope Threat Labs
22 minuti di lettura

Sommario esecutivo collegamento collegamento

Il rapporto Netskope Cloud and Threat Report si propone di fornire informazioni strategiche e fruibili sulle ultime tendenze in materia di cloud computing e minacce alla sicurezza informatica che interessano le organizzazioni in tutto il mondo. In questa edizione, diamo uno sguardo alle principali tendenze del 2023, con particolare attenzione a quelle che prevediamo continueranno nel 2024 e oltre.

Nel corso del 2023, l'adozione del cloud e della SaaS ha continuato a crescere negli ambienti aziendali, con utenti che adottano costantemente New app e aumentano l'uso di app esistenti. Le suite di app di Microsoft e Google continuano a dominare in tutti i settori e le aree geografiche del mondo, poiché le app di questi fornitori diventano ancora più integrate nei processi aziendali critici.

Gli avversari, riconoscendo questa tendenza, stanno abusando e prendendo di mira le app popolari nelle loro operazioni con maggiore frequenza. L'ingegneria sociale è diventata il metodo più comune che gli avversari usano per accedere agli ambienti delle vittime. Gli avversari hanno sempre più successo nel ingannare le vittime affinché scaricano i Trojan ospitandoli in app SaaS popolari e nel ingannare le vittime affinché cliccano su esche antiphishing progettate per rubare credenziali dell'app SaaS.

La maggior parte delle attività avversarie rivolte ai clienti di Netskope nel 2023 è stata motivata finanziariamente. Quando un avversario motivato finanziariamente ottiene accesso iniziale all'ambiente della vittima, di solito installa un impianto (di solito Cobalt Strike) per mantenere la persistenza. Alla fine cercano di estorcere l'organizzazione vittima implementando ransomware, infostealer e tergiatori, minacciando di esporre pubblicamente dati sensibili o sabotare l'ambiente della vittima se non pagano. Anche avversari motivati geopoliticamente, il cui obiettivo principale è storicamente stato lo spionaggio informatico, si stanno impegnando in attività di estorsione simili.

Questo rapporto mette in luce queste e altre tendenze predominanti del 2023 e offre previsioni su quali di esse proseguiranno nel 2024.

 

Punti salienti del reportage collegamento collegamento

Le app di intelligenza artificiale generativa sono un pilastro aziendale
Le app di intelligenza artificiale generativa, praticamente inesistenti nelle aziende un anno fa, sono ora un pilastro, con oltre il 10% degli utenti che accedono ogni mese ad app di intelligenza artificiale generativa basate su cloud e con il 25% degli utenti che aumenta esponenzialmente l'utilizzo di queste app.

La maggior parte dei trojan viene scaricata dalle app cloud più diffuse
Gli aggressori riescono a indurre le vittime a scaricare i trojan con maggiore successo quando questi sono ospitati su app cloud molto diffuse; le app più diffuse di Google e Microsoft sono tra le prime per il download di malware.

Gli avversari penali ampliano il loro manuale di estorsione
Nel 2023, l'attività criminale ha dominato il panorama delle minacce, con numerosi gruppi di avversari che hanno fatto ampio affidamento su Cobalt Strike per mantenere la propria presenza e distribuire ransomware, infostealer, wiper e altri software dannosi per estorcere denaro alle proprie vittime.

 

Uso di cloud e app SaaS in crescita collegamento collegamento

La transizione aziendale dalle applicazioni tradizionali on-premises alle app cloud e SaaS è tutt'altro che conclusa. La maggior parte delle organizzazioni è già passata a suite di produttività basate su cloud, e la migrazione si è spostata verso applicazioni più di nicchia. Il numero di app utilizzate dall'utente medio è aumentato da 14 a 20 negli ultimi due anni, con un incremento medio del 19% all'anno. Attualmente, metà di tutti gli utenti enterprise interagisce con tra 11 e 33 app ogni mese, con l'1% più alto degli utenti che interagisce con più di 96 app al mese.

App utilizzate dall'utente medio

Allo stesso tempo, le interazioni delle persone con le app cloud e SaaS stanno aumentando a un ritmo ancora più rapido (del 35% all'anno), passando da poco più di 1.000 attività al mese di due anni fa alle quasi 2.000 attività al mese di oggi. La metà degli utenti aziendali genera tra 600 e 5.000 attività al mese, mentre l'1% degli utenti più attivi ne genera più di 50.000. Un'attività è un'interazione fondamentale tra un utente e un'app. Le attività più comuni sono:

  • Scaricare o caricare un file
  • Modifica di un documento
  • Pubblicare un messaggio
  • Visualizzazione di un file o di un messaggio

Numero medio di attività per utente al mese

Le app più diffuse in ambito aziendale non hanno subito cambiamenti significativi nell'ultimo anno. Tra le 20 app più popolari, la popolarità su base annua variava di una sola cifra percentuale, con alcuni temi di spicco.

Popolarità complessiva dell'app

Google e Microsoft regnano sovrani
I componenti principali delle suite di produttività Microsoft 365 e Google Workspaces sono stati tra le app migliori sia nel 2022 che nel 2023. Prodotti Microsoft come OneDrive, Sharepoint, Teams, Azure Blob Storage, Outlook.com, Forms e GitHub insieme ai prodotti Google Google Drive, Google Cloud Storage, Gmail e Calendar rappresentavano la maggior parte dei primi 10. Le app di questi fornitori sono diventate pilastri dell'ecosistema aziendale in tutte le aree geografiche e in tutti i settori e continueranno a rimanere in cima per il prossimo futuro.

Cambiamenti sui social media
Sebbene la loro popolarità relativa sia rimasta sostanzialmente invariata di anno in anno, si sono verificati alcuni cambiamenti nella popolarità di varie piattaforme di social media tra gli utenti aziendali. Facebook è ancora la piattaforma di social media più popolare, nonostante la sua popolarità sia diminuita di 6 punti. Nonostante si parli di un esodo da Twitter in seguito all'acquisto da parte di Elon Musk, gli utenti aziendali continuano a utilizzarlo più o meno allo stesso ritmo. La piattaforma di social networking professionale LinkedIn ha guadagnato 4 punti, il guadagno più grande tra tutte le piattaforme di social media e il terzo più grande tra tutte le app. TikTok e Instagram sono rimasti sostanzialmente invariati.

Outlook supera Gmail
Outlook.com superato Google Gmail nel 2023, mentre gli utenti di Outlook continuano ad abbandonare l'uso nativo dell'app Outlook a favore dell'app web. Aggiungendo più di 6 punti di popolarità, Outlook.com registrato il secondo aumento più grande di qualsiasi app cloud o SaaS nel 2023.

 

Le app di intelligenza artificiale generativa sono in ascesa collegamento collegamento

Il 2023 è stato l'anno dell'intelligenza artificiale generativa. Tutto è iniziato con l'entusiasmo suscitato da OpenAI e dal suo prodotto di punta ChatGPT. Sebbene non sia entrata nella top 20 delle app più popolari del 2023, ChatGPT ha registrato più utenti di qualsiasi altra app, con la sua popolarità aumentata dallo 0% a quasi il 7% di tutti gli utenti aziendali entro la fine dell'anno. Con l'aumentare della popolarità di ChatGPT, altre aziende hanno iniziato a creare chatbot concorrenti e ancora più aziende hanno iniziato a creare prodotti di nicchia per sfruttare la potenza di questi grandi modelli linguistici (LLM). L'idea di un assistente basato sull'intelligenza artificiale per aiutare in attività come la scrittura, la programmazione e persino le operazioni di sicurezza ha preso piede. Contemporaneamente sono state rilasciate anche app per generare immagini, video e audio.

La comunità della sicurezza informatica aziendale ha fatto ciò che fa di solito quando una New tecnologia con così tanto clamore arriva sul mercato: determinare rapidamente se queste app servono a uno scopo aziendale legittimo e, nei casi in cui lo fanno, capire come consentirne l'uso in modo sicuro. Per molte organizzazioni, ciò ha significato frenare, bloccando le app finché non fossero state sottoposte a un'adeguata verifica di sicurezza. In generale, ciò significa che queste app di intelligenza artificiale generativa hanno guadagnato popolarità nel mercato aziendale più lentamente rispetto a quello dei consumatori.

Ma la loro popolarità crebbe. Il grafico seguente mostra un aumento della popolarità delle app di intelligenza artificiale che assomiglia a una sigma, passando da poco più del 2% di tutti gli utenti aziendali che accedevano ad almeno un'app di intelligenza artificiale al mese un anno fa a oltre il 10% che lo fa oggi. La maggior parte di questa crescita si è verificata nella prima metà del 2023, per poi rallentare verso la fine dell'anno.

Percentuale di utenti che interagiscono con l'IA

Un grafico della crescita delle prime tre app di IA generativa offre maggiori informazioni sulla forma del grafico complessivo di popolarità sopra. ChatGPT è stata l'app più popolare di gran lunga, con l'assistente di scrittura Grammarly al secondo posto, seguito dal chatbot Google Bard al terzo posto. Il grafico seguente fornisce una suddivisione dettagliata della crescita di queste tre app. ChatGPT è stato il principale motore del modello di crescita sigmoidale nella prima metà dell'anno, passando da quasi lo 0% al 7% della popolazione di utenti aziendali molto rapidamente. Google Bard ha avuto una forma simile alla sua crescita più avanti nell'anno, quando è diventato generalmente disponibile, ma la sua adozione è impallidita rispetto a ChatGPT. Grammarly ha iniziato l'anno come l'app di IA più popolare grazie alla sua base utenti preesistente e, sebbene non abbia registrato una crescita aggressiva come ChatGPT, la sua popolarità continua a crescere. Nel prossimo anno, Netskope Threat Labs prevede che Grammarly continuerà la sua crescita di popolarità e colcherà il divario con ChatGPT, ma resterà comunque indietro rispetto al chatbot polivalente.

Le 3 migliori app di intelligenza artificiale in base alla percentuale di utenti

La maggior parte degli utenti interagisce con le app di IA generativa solo poche volte al mese. Nel corso dell'ultimo anno, l'utente medio è passato da 5 attività al mese a 14 attività al mese, dove un'attività è più comunemente un prompt pubblicato a un chatbot. Il quartile più alto degli utenti di app di IA ha mostrato un aumento più significativo, passando da 15 a 85 attività nell'arco dell'anno. Ciò indica che un quarto della popolazione di utenti di IA sono utenti avanzati che stanno aumentando sempre più rapidamente l'uso delle app di IA generativa. Netskope Threat Labs prevede che entrambe queste tendenze continueranno anche nel 2024: il numero totale di utenti che accedono alle app di IA nelle aziende continuerà a crescere solo modestamente, mentre l'attività degli utenti avanzati aumenterà significativamente man mano che la popolazione di super utenti troverà New modi per trarre valore aggiuntivo da queste tecnologie.

Attività dell'app AI per utente

Uno sguardo più attento alle prime dieci app di IA generativa mentre il 2023 si avvicina alla fine rivela tre tendenze degne di nota che ci aspettiamo di vedere continuare anche nel 2024.

Le 10 migliori app di intelligenza artificiale in base alla percentuale di utenti al mese

I chatbot dominano
ChatGPT, il primo chatbot basato sull'intelligenza artificiale generativa ad aver raggiunto la popolarità, è ancora in cima alla classifica alla fine dell'anno, con il 6,7% degli utenti aziendali che interagiscono con il chatbot almeno una volta al mese. Google Bard, l'alternativa a ChatGPT di Google, è il secondo chatbot più popolare, ma ha poco più di un decimo della base utenti. ChatGPT e Google Bard sono strumenti multiuso che possono essere utilizzati per supportare funzioni aziendali, ad esempio per aiutare con attività di scrittura e programmazione o per il recupero di informazioni, oppure per l'intrattenimento. La loro versatilità è uno dei motivi principali della loro popolarità. Anche altri chatbot di nicchia per l'interazione con i clienti, come ChatBase e Blip, sono entrati nella top ten, ma con un numero di utenti ancora inferiore.

Gli assistenti AI stanno recuperando terreno
Uno degli usi più diffusi della tecnologia di IA generativa finora in azienda è come assistente alla scrittura. Grammarly, la seconda app di IA generativa più popolare, è utilizzata dal 3,1% degli utenti aziendali, con alternative come QuillBot e Wordtune che entrano anch'esse nella top ten. Tabnine è un assistente di programmazione che aiuta i programmatori a scrivere codice in modo più efficiente. Netskope Threat Labs prevede che gli assistenti IA, in particolare quelli di scrittura e programmazione, continueranno a crescere in popolarità nel 2024. La loro integrazione negli strumenti comunemente usati per scrivere e programmare, e il fatto che siano specificamente progettati e ottimizzati per tali compiti, alimenteranno la loro crescita di popolarità. Il fatto che non possano essere utilizzati per scopi di intrattenimento probabilmente rimuoverà anche le barriere alla loro adozione in azienda, mentre altre app, come i chatbot generici, potrebbero risentirne.

I generatori di arte AI stanno entrando nel mondo aziendale
I generatori di arte con IA, in particolare quelli in grado di generare immagini, si sono fatti strada al numero 9 e 10 delle app di IA generativa più popolari nel mondo aziendale. Come i chatbot, i generatori d'arte AI sono strumenti polivalenti che possono essere utilizzati per intrattenimento o per supportare funzioni aziendali, entrambi fattori che influenzano la loro popolarità nel mondo aziendale. Grazie ai loro usi per l'intrattenimento, in particolare la capacità di generare contenuti non sicuri per il lavoro, è probabile che rimarranno in fondo alla lista delle popolarità negli ambienti aziendali per il prossimo futuro.

 

Ingegneria sociale collegamento collegamento

Il metodo più comune con cui gli avversari hanno ottenuto il primo accesso ai sistemi della loro vittima nel 2023 è stato tramite l'ingegneria sociale. L'ingegneria sociale è tipicamente il modo più semplice per gli avversari di accedere a sistemi aziendali rafforzati dove l'accesso remoto è limitato e le patch contro vulnerabilità di sicurezza note vengono applicate tempestivamente. L'ingegneria sociale si rivolge alle persone che hanno accesso ai sistemi, piuttosto che ai sistemi stessi. Tra le varie tattiche e tecniche di ingegneria sociale utilizzate dagli avversari per colpire le imprese nel 2023, ce ne sono state due di spicco:

  • Indurre le vittime a scaricare ed eseguire trojan
  • Usare il phishing per ingannare le vittime e farle condividere credenziali sensibili

Il resto di questa sezione fornisce un'analisi più approfondita di ciascuna di queste tecniche.

 

Trojan

Gli utenti enterprise sono costantemente prese di mira dai Trojan da molte angolazioni diverse. Gli avversari creano continuamente New Trojan con una varietà di esche diverse per ingannare gli utenti e farli scaricare ed eseguirli. Nel 2023, una media di 8 utenti su 10.000 ha scaricato in media 11 Trojan al mese. Durante l'anno, un'organizzazione con 10.000 utenti avrebbe avuto in media 132 Trojan scaricati dagli utenti sulla propria rete. Netskope Threat Labs prevede che entrambi questi numeri rimarranno relativamente costanti per tutto il 2024.

Uno degli stratagemmi che gli avversari utilizzano sempre più spesso per indurre gli utenti a scaricare i Trojan è quello di ospitare i Trojan su app SaaS molto diffuse. Nell'ultimo anno, la percentuale di download di malware HTTP e HTTPS provenienti da app SaaS è stata costantemente superiore al 50%, una tendenza che Netskope Threat Labs prevede continuerà fino al 2024, avvicinandosi al 60%.

Percentuale di download mlware HTTP/HTTP da app cloud

Le app specifiche in cui gli avversari hanno più successo nel ingannare le loro vittime per farle scaricare i Trojan sono, non sorprendentemente, anche tra le app più popolari nel mondo aziendale. La figura seguente suddivide le 20 app principali, incluso un confronto anno su anno. Di seguito evidenziiamo quattro temi principali di questa trama.

Le principali app in cui sono stati rilevati i download di malware

Microsoft OneDrive mantiene la sua leadership
Come discusso in precedenza in questo rapporto, Microsoft OneDrive è onnipresente nelle imprese. È l'app SaaS più popolare di gran lunga, con quasi due terzi di tutti gli utenti enterprise che accedono ai contenuti su OneDrive ogni mese. Per questo motivo, non sorprende che sia anche in vantaggio in termini di download di malware. Gli avversari possono facilmente creare i propri account OneDrive per ospitare malware, che condividono con le loro vittime. Inoltre, poiché due terzi degli utenti usano regolarmente OneDrive, sono abituati a cliccare sui link OneDrive e quindi è più probabile che lo facciano quando un avversario ne condivide uno.

Microsoft Sharepoint è sfumato
Microsoft sfrutta SharePoint in una varietà di altri servizi, tra cui Microsoft Teams. L'aumento annuo dei download di malware provenienti da SharePoint è dovuto principalmente all'aumento dei trojan condivisi con le vittime tramite Microsoft Teams, che vengono visualizzati come download di Microsoft SharePoint sulla piattaforma Netskope.

Le app che forniscono hosting gratuito sono leader
La maggior parte delle app nella top 20 sono app che forniscono servizi di hosting di file gratuiti. Sono incluse le app di archiviazione cloud (Microsoft OneDrive, Google Drive, Azure Blob Storage, Amazon S3, Box, Dropbox, Google Cloud Storage), le app di web hosting gratuite (Weebly, Squarespace), i servizi di condivisione file gratuiti (DocPlayer, MediaFire, WeTransfer) e le app di hosting del codice sorgente gratuite (GitHub, SourceForge). Poiché tutte queste app forniscono hosting di file a basso costo o gratuito, Netskope Threat Labs prevede che queste e altre app simili continueranno a essere sfruttate in modo improprio per la distribuzione di malware e phishing nel prossimo futuro.

 

Phishing

In genere, gli aggressori riescono più facilmente a indurre le vittime a cliccare sui link di phishing che a scaricare malware. In media, nel 2023, 29 utenti aziendali su 10.000 hanno cliccato su un link di phishing ogni mese, ovvero più di tre volte la frequenza con cui gli utenti hanno scaricato trojan. Nel corso dell'anno, un'organizzazione con 10.000 utenti avrebbe avuto in media 348 utenti che hanno cliccato su link di phishing.

Gli aggressori sfruttano il phishing per ottenere credenziali e altre informazioni sensibili da vari obiettivi. Tra i primi 10 obiettivi di phishing nel 2023 figuravano le applicazioni cloud e SaaS più diffuse, i siti di shopping e i portali bancari. Le app SaaS e i siti di shopping sono stati tra i principali obiettivi durante tutto l'anno, mentre i portali bancari, i social media e gli obiettivi governativi hanno registrato un aumento costante nel corso dell'anno. Mentre alcuni aggressori sfruttano il phishing per ottenere credenziali e dati che poi utilizzeranno loro stessi, altri fungono da intermediari di accesso iniziale, vendendo le credenziali rubate, le informazioni bancarie e altri dati sul mercato nero. Netskope Threat Labs prevede che le app cloud e SaaS, pur rimanendo tra i principali obiettivi del phishing, saranno soppiantate dai portali bancari come obiettivo principale all'inizio del 2024.

Principali bersagli di phishing tramite link cliccati

Tra le principali categorie di obiettivi di phishing, ce ne sono state alcune che si sono distinte:

Governo
L'obiettivo governativo più comune era l'Agenzia delle Entrate degli Stati Uniti, dove gli aggressori creavano pagine di phishing per rubare dati finanziari alle loro vittime.

Social media
Facebook, l'app di social media più popolare nel mondo aziendale, rimane la piattaforma social più presa di mira con un ampio margine. Gli avversari utilizzano account social compromessi per truffe, diffondere malware, disinformazione e altre attività illecite.

Shopping
I giganti dello shopping Amazon ed Ebay restano i principali obiettivi di acquisto.

Videogiochi
La piattaforma di gioco più presa di mira è stata senza dubbio Steam. In genere gli aggressori utilizzano le informazioni di pagamento associate all'account per effettuare acquisti e cercano anche di utilizzare l'account per compromettere altri account.

Consumatore
Il servizio di streaming video Netflix ha mantenuto il primato come servizio più oggetto di phishing nella categoria consumer nel 2023. In questo caso, l'obiettivo principale è il furto: gli account rubati vengono venduti sul mercato nero a persone in cerca di un abbonamento Netflix a basso costo.

Tra le app cloud e SaaS prese di mira dagli avversari nelle campagne di phishing nel 2023, un ecosistema di app si distingue su tutti gli altri: Microsoft. La popolarità di Microsoft tra gli utenti enterprise significa che le credenziali Microsoft sono sia un bersaglio redditizio per gli attaccanti sia che gli utenti saranno più abituati a cliccare sui link dei servizi Microsoft. Man mano che sempre più utenti continueranno a utilizzare i servizi Microsoft, Microsoft continuerà a essere un bersaglio principale degli avversari che possono sfruttare l'accesso all'account Microsoft della loro vittima per compromettere email aziendali, rubare dati sensibili e passare ad altre applicazioni connesse. Per questi motivi, Netskope Threat Labs prevede che Microsoft rimanga il principale obiettivo del cloud phishing nel 2024, aumentando ulteriormente il suo vantaggio rispetto ad altre app.

Principali obiettivi di phishing cloud tramite link cliccati

Una strategia di phishing meno comune ma in crescita è quella di utilizzare allegati di phishing anziché link di phishing nelle e-mail. Gli allegati di phishing hanno lo scopo di eludere i controlli anti-phishing che esaminano solo i link incorporati direttamente nell'e-mail stessa. Il tipo più comune di allegato di phishing è un documento PDF che sembra una fattura e che invita le vittime a chiamare un numero di telefono o a visitare un collegamento se hanno bisogno di correggere qualcosa nella fattura. Gli allegati di phishing erano piuttosto rari all'inizio del 2022, hanno registrato un picco a metà anno, sono diminuiti e hanno registrato un nuovo picco alla fine del 2023. Nonostante l'aumento, è meno comune che un utente aziendale scarichi un allegato di phishing rispetto a un utente che clicchi su un collegamento di phishing o scarichi un Trojan. Netskope Threat Labs prevede che gli allegati di phishing diventeranno ancora più comuni nel 2024.

Utenti che scaricano allegati antiphishing per 10.000 utenti

 

Profili e obiettivi degli avversari collegamento collegamento

Finora in questo rapporto abbiamo evidenziato che le app cloud e SaaS continuano a crescere in popolarità nelle aziende, conquistando ogni anno più utenti e più interazioni per utente. Abbiamo inoltre evidenziato che l'ingegneria sociale è stata la tecnica di infiltrazione più comune nel 2023, con phishing e trojan ospitati su app SaaS e mirati tra le tecniche più diffuse. Ma chi erano gli avversari che impiegavano queste tecniche? Quali erano le loro motivazioni e i loro obiettivi? Quale rischio rappresentavano per le organizzazioni a cui erano rivolte? Questa sezione esplora le risposte a tutte e tre queste domande.

Netskope Threat Labs monitora avversari che prendono di mira attivamente i clienti Netskope per comprenderne meglio le motivazioni, le tattiche e le tecniche, così da poter costruire difese migliori contro di loro. Generalmente categorizziamo le motivazioni avversarie come criminali o geopolitiche.

Avversari penali
L'obiettivo principale di un gruppo avversario criminale è il guadagno finanziario, il che recentemente ha comportato una forte attenzione all'estorsione. L'estorsione è stata un'attività estremamente redditizia per i cybercriminali, con una stima di 457 milioni di dollari in pagamenti di riscatto effettuati nel 2022. Oggigiorno, gli avversari penali hanno ampliato il loro portafone di tecniche di estorsione per aumentare le probabilità di successo. Queste tecniche includono:

  • Distribuzione di ransomware. L'obiettivo è quello di bloccare le operazioni e i sistemi della vittima crittografando tutti i suoi dati. La tattica di negoziazione iniziale consiste nel promettere di decifrare i dati in cambio del pagamento del riscatto. Alcuni avversari arrivano addirittura a sostenere di aiutare la vittima: quest'ultima è così fortunata che l'avversario benevolo vuole solo soldi per decifrare i file e non vuole fare alcun danno reale. Immaginate se qualcuno con intenzioni più nefaste avesse avuto accesso all'ambiente della vittima!
  • Utilizzo di un infostealer. Un infostealer ruba dati sensibili alla vittima, solitamente comprimendoli ed esfiltrandoli tramite HTTP o HTTPS per confonderli con altro traffico. I dati rubati vengono utilizzati come leva per convincere la vittima a pagare il riscatto. Ad esempio, se la vittima può facilmente ripristinare i dati dai backup e riprendere le normali operazioni, non sarà particolarmente incentivata a pagare. Forse la minaccia di rendere pubblici dati sensibili potrebbe fargli cambiare idea.
  • Sabotare i sistemi. I tergicristalli vengono sempre più comunemente utilizzati dalle organizzazioni criminali come tattica finale per motivare il pagamento. Gli avversari inizieranno a distruggere dati e a mettere offline i sistemi man mano che le trattative sull'estorsione protragono, con l'aspettativa che ciò possa ulteriormente motivare la vittima a pagare.

Sebbene cerchiamo di etichettare ogni gruppo avversario criminale in base al paese in cui operano, molti gruppi operano a livello transnazionale. Inoltre, molti ora operano con un modello di affiliazione, rendendo le loro operazioni ancora più disperse. Di conseguenza, di solito associamo un gruppo al paese o alla regione da cui si ritiene provengano i suoi membri principali.

Avversari geopolitici
I gruppi avversari geopolitici sono in genere stati nazionali o loro rappresentanti e le loro attività rispecchiano solitamente conflitti politici, economici, militari o sociali più ampi. I gruppi geopolitici solitamente si impegnano in operazioni informatiche contro altri stati nazionali come moderna strategia di relazioni internazionali. I confini tra avversari geopolitici e criminali possono essere labili, con alcuni gruppi geopolitici impegnati anche in attività motivate da interessi finanziari. Le specifiche operazioni informatiche intraprese dagli avversari geopolitici variano, tra cui:

  • Spionaggio informatico
  • Sabotare le infrastrutture critiche
  • Guerra dell'informazione
  • Diffondere propaganda
  • Manipolazione dell'opinione pubblica
  • Influenzare le elezioni

Attribuzione
Attribuire attività a uno specifico gruppo avversario può essere una sfida. Gli avversari cercano di nascondere la loro vera identità o addirittura di lanciare intenzionalmente operazioni sotto falsa bandiera, in cui cercano di far apparire i loro attacchi come se provenissero da un altro gruppo. Più gruppi spesso utilizzano le stesse tattiche e tecniche, alcuni arrivando persino a utilizzare gli stessi strumenti o infrastrutture. Anche definire i gruppi avversari può essere difficile, poiché i gruppi si evolvono o i membri si spostano da un gruppo all'altro. Le attribuzioni agli avversari sono vaghe e soggette a cambiamenti ed evoluzioni man mano che New informazioni vengono alla luce.

La maggior parte delle attività avversarie rivolte ai clienti Netskope nel 2023 è stata motivata criminalmente, con avversari geopolitici più attivi contro gli utenti in Asia e America Latina. In Asia, la più alta concentrazione di attività di avversari geopolitici ha preso di mira le vittime in India e Singapore, mentre in America Latina ha preso di mira le vittime in Brasile.

Motivazioni degli avversari per regione target

Nel complesso, la maggior parte delle attività avversarie è stata attribuita a gruppi criminali con base in Russia (di mira in tutto il mondo), seguiti da gruppi geopolitici in Cina (rivolti principalmente alle vittime in Asia, in particolare a Singapore). I gruppi avversari situati in altre regioni hanno rappresentato meno di un quarto di tutta l'attività avversaria monitorata da Netskope Threat Labs nel 2023. Nel resto di questa sezione, forniamo un profilo avversario dei cinque gruppi avversari più attivi nel 2023, evidenziando le loro motivazioni, tattiche, tecniche e strategie di mira. Questa lista include tre gruppi criminali con base in Russia e due gruppi geopolitici con sede in Cina.

Attività avversaria per località

 

TA551

Posizione: Russia
Motivazione: Criminale
Alias: CABINA D'ORO, Shathak

L'attività attribuita a TA551 proveniva principalmente da trojan bancari, in particolare varianti di Pinkslipbot, Ursnif e QakBot. TA551 ha preso di mira vittime in tutto il mondo e in molteplici settori industriali, tra cui manifattura, servizi finanziari, tecnologia e sanità. Mentre molte organizzazioni criminali hanno adottato una strategia incentrata sull'estorsione, TA551 sembra accontentarsi di mantenere la loro strategia collaudata di rubare informazioni bancarie direttamente alle vittime.

 

Ragno Mago

Posizione: Russia
Motivazione: Criminale
Alias: UNC1878, TEMP. MixMaster, Grim Spider, FIN12, GOLD BLACKBURN, ITG23, Periwinkle Tempest

Wizard Spider è forse più famoso per aver sviluppato il malware TrickBot e da allora si è orientato verso operazioni di ransomware. Nel 2023, Netskope ha tracciato le attività associate al Ragno Mago che prende di mira le vittime in tutto il mondo. Nella maggior parte delle loro operazioni, utilizzavano il popolare strumento del red team Cobalt Strike per stabilire la persistenza negli ambienti delle vittime. Il framework Cobalt Strike fornisce un eseguibile leggero che viene impiantato nell'ambiente della vittima e comunica con un server controllato dall'attaccante. Viene tipicamente utilizzato per fornire accesso remoto e distribuire payload malware aggiuntivi (in questo caso, principalmente ransomware). La maggior parte delle attività di Wizard Spider che abbiamo monitorato nel 2023 ha seguito un modello comune: evitare le ricerche DNS comunicando direttamente con il server controllato dall'attaccante tramite il suo indirizzo IP tramite HTTP.

 

TA505

Posizione: Russia
Motivazione: Criminale
Alias: Hive0065

TA505 è un altro gruppo criminale russo di ransomware ed è responsabile del ransomware Clop . Come Wizard Spider, hanno anche usato pesantemente Cobalt Strike per la persistenza e per distribuire payload ransomware. Hanno inoltre utilizzato la botnet Amaday per distribuire ransomware e altri payload malware su sistemi infetti. Similmente a Wizard Spider, i loro impianti Cobalt Strike e Amadey tendevano a comunicare direttamente con la loro infrastruttura C2 tramite indirizzi IP, bypassando le ricerche DNS. A differenza di Wizard Spider, che prendeva di mira organizzazioni in tutto il mondo, le attività di TA505 erano concentrate in Asia ed Europa.

 

APT41

Posizione: Cina
Motivazione: Geopolitica
Alias: Panda Malvagio

APT41 è un gruppo di spionaggio sponsorizzato dallo Stato che si impegna anche in attacchi ransomware a scopo finanziario. Sebbene le loro attività in passato siano state diffuse in tutto il mondo, nel 2023 si sono concentrate principalmente in Asia ed Europa, in particolare nelle organizzazioni di servizi finanziari con sede a Singapore. Come altri gruppi, si affidavano fortemente al framework Cobalt Strike per la persistenza e per il dispiegamento di carichi utili aggiuntivi. Hanno anche utilizzato la backdoor POISONPLUG, le cui varianti utilizzano le piattaforme social come canali di comando e controllo.

 

Earth Lusca

Posizione: Cina
Motivazione: Geopolitico
Alias: TAG-22

Earth Lusca è strettamente imparentata con APT41 in quanto utilizza utensili molto simili. Nel 2023, hanno utilizzato Cobalt Strike e POISONPLUG contro obiettivi in tutto il mondo che coprono diversi settori, tra cui servizi finanziari, manifattura, sanità, tecnologia e SLED.

 

Raccomandazioni collegamento collegamento

La complessità di un ambiente aziendale in cui gli utenti introducono costantemente New app mentre le app esistenti vengono sempre più integrate nei processi aziendali principali può rendere tali ambienti difficili da proteggere. Netskope Threat Labs consiglia di limitare l'accesso alle app solo a quelle che servono a scopi aziendali legittimi e di creare un processo di revisione e approvazione per New app. Per le app ampiamente utilizzate e fortemente integrate, Netskope raccomanda di implementare un processo continuo di gestione della postura per garantire che le app siano configurate per ridurre i rischi per l'organizzazione. Raccomandiamo inoltre di implementare un processo di monitoraggio continuo che avvisi gli operatori di sicurezza quando le app vengono usate in modo improprio o sono state compromesse.

Ora che le app di intelligenza artificiale generativa hanno preso piede nelle aziende, garantire l'abilitazione e l'adozione sicure delle app di intelligenza artificiale dovrebbe essere una priorità urgente per la maggior parte delle organizzazioni. L'abilitazione sicura implica l'identificazione delle app consentite e l'implementazione di controlli che consentano agli utenti di utilizzarle al massimo delle loro potenzialità, salvaguardando al contempo l'organizzazione dai rischi. Per informazioni più dettagliate su come Netskope può aiutarti, consulta il documento informativo sulla soluzione ChatGPT e Generative AI Data Protection.

Alla luce del continuo aumento dell'ingegneria sociale per l'accesso iniziale, Netskope Threat Labs raccomanda di continuare gli investimenti per ridurre il rischio dell'ingegneria sociale, inclusi corsi di sensibilizzazione sulla sicurezza e tecnologie anti-phishing. A causa dell'attenzione crescente degli avversari sul targeting e abuso delle app cloud e SaaS, le organizzazioni dovrebbero assicurarsi che le loro soluzioni di sicurezza ispezionino accuratamente tutto il traffico di rete (incluso il traffico da e verso app cloud e SaaS popolari) e monitorino attivamente le app gestite per individuare segni di abuso e compromissione.

Esistono molti punti in comune tra i gruppi avversari attivi, tra cui l'installazione di impianti come Cobalt Strike per consentire l'accesso remoto clandestino; l'impiego di ransomware, infostealer e wiper; e i successivi tentativi di estorsione. Bloccare l'accesso remoto, applicare patch ai sistemi contro exploit noti e ridurre i rischi di ingegneria sociale può aiutare a prevenire l'accesso iniziale e quindi anche le attività più significative e costose degli aggressori. Tuttavia, è opportuno implementare ulteriori livelli di controllo per catturare gli avversari determinati che riescono a superare i livelli iniziali. Questi livelli aggiuntivi includono l'implementazione della sicurezza di rete e degli endpoint in grado di bloccare i tentativi di intrusione, le comunicazioni di comando e controllo e l'esfiltrazione di dati dannosi. Includono anche l'implementazione di strumenti di sicurezza di rete e di endpoint in grado di rilevare attività insolite che in genere si verificano quando un avversario si è infiltrato in un sistema ma non ha ancora distribuito ransomware o esfiltrato dati. Rilevare e bloccare un avversario in questa fase può comunque impedire che un attacco diventi dannoso o costoso.

Una strategia di sicurezza informatica multilivello incentrata sulla riduzione del rischio, sul blocco delle attività degli avversari e sul monitoraggio continuo può aiutare a proteggere le organizzazioni dalle perdite ingenti causate da un attacco informatico andato a segno.

 

Informazioni su questo rapporto collegamento collegamento

Netskope Threat Labs pubblica annualmente un Rapporto Cloud e Minacce per fornire informazioni strategiche e azionabili sulle ultime tendenze nel cloud computing e nelle minacce alla cybersecurity che colpiscono organizzazioni in tutto il mondo. Le informazioni presentate in questo rapporto si basano su dati di utilizzo anonimizzati raccolti dalla piattaforma Netskope One relativi a un sottoinsieme di clienti Netskope con autorizzazione preventiva. Netskope fornisce minacce e protezione dei dati a milioni di utenti in tutto il mondo. Questo rapporto contiene informazioni sui rilevamenti sollevati dal Next Generation Secure Web Gateway (SWG) di Netskope, senza considerare l'importanza dell'impatto di ciascuna minaccia individuale. Le statistiche presentate in questo rapporto riflettono sia l'attività degli avversari sia il comportamento degli utenti. Le statistiche in questo rapporto si basano sul periodo che va dal 1° dicembre 2021 al 30 novembre 2023.

 

Netskope Threat Labs collegamento collegamento

Grazie al personale dei più importanti ricercatori del settore in materia di minacce cloud e malware, Netskope Threat Labs scopre, analizza e progetta difese contro le più recenti minacce web, cloud e dati che colpiscono le aziende. I nostri ricercatori sono relatori e volontari abituali alle principali conferenze sulla sicurezza, tra cui DEF CON, Black Hat e RSA.

Risorse correlate

Risultati