Rapporto Netskope Threat Labs: Sanità 2024

Salta a una sezione

In questo rapporto Adozione delle app cloud

App cloud più popolari Le principali app utilizzate per i caricamenti Le app più utilizzate per i download

Consegna di malware cloud App cloud abusate per la diffusione di malware

Le principali famiglie di malware e ransomware Raccomandazioni Netskope Threat Labs Informazioni su questo rapporto

9 minuti di lettura

In questo rapporto

Adozione di app cloud: Sebbene Microsoft OneDrive sia l'app più popolare nel settore sanitario, la sua popolarità è inferiore a quella di altri settori. La popolarità degli altri prodotti Microsoft è stata mista, con SharePoint che è stato in ritardo in altri settori ma Teams è stato in vantaggio in altri settori.

Abuso delle app cloud: Microsoft OneDrive è stata anche l'app più popolare per il download di malware, ma è rimasta indietro rispetto ad altri settori, sottolineando che la consegna efficace del malware dipende sia dalle tattiche avversarie sia dal comportamento degli utenti.

Malware e ransomware: tra le famiglie di malware più diffuse che prendono di mira le vittime nel settore sanitario figurano il trojan di accesso remoto NjRat, la botnet Amaday e l'infostealer Azorult.

Adozione delle app cloud

L'utente medio nel settore sanitario interagisce con una media di 22 app cloud al mese. L'1% più alto degli utenti interagiva con 94 app al mese, il numero più alto tra tutti i settori.

Gli utenti del settore sanitario hanno scaricato dati dalle app cloud quasi alla stessa velocità degli altri settori: il 96% degli utenti del settore sanitario ha scaricato dati dalle app cloud, rispetto al 94% degli altri settori. D'altro canto, gli utenti del settore sanitario hanno caricato dati a una velocità molto inferiore rispetto ad altri settori: il 55% degli utenti del settore sanitario ha caricato dati, mentre negli altri settori la media è stata del 68%.

App cloud più popolari

Le 10 app cloud più popolari nel settore sanitario rispecchiano quelle di altri settori. Microsoft OneDrive, l'app più popolare nella maggior parte dei settori, è in testa a tutte le altre app, ma con una percentuale di utenti molto più bassa rispetto ad altri settori. Solo il 42% degli utenti del settore sanitario utilizza Microsoft OneDrive ogni giorno, rispetto al 52% degli altri settori. Allo stesso modo, l'utilizzo di Microsoft SharePoint è rimasto indietro rispetto ad altri settori, ma solo di 6 punti. Microsoft Teams, invece, si è distinto per il motivo opposto. Il suo utilizzo nel settore sanitario ha superato di 5 punti gli altri settori.

Le principali app utilizzate per i caricamenti

Come previsto, Microsoft OneDrive è l'app più popolare con un ampio margine e allo stesso tempo è anche l'app più utilizzata per caricare dati: il 15% degli utenti del settore sanitario carica dati su OneDrive ogni giorno, sebbene sia in ritardo rispetto ad altri settori in cui OneDrive è più popolare.

Le app più utilizzate per i download

OneDrive è anche l'app più popolare per i download nel settore sanitario, con il 19% degli utenti che scarica da essa, mentre è anche indietro rispetto ad altri settori dove OneDrive è più popolare.

Cloud App Abuse

Consegna di malware cloud

Nell'ultimo anno, la percentuale di download di malware da app cloud è diminuita gradualmente rispetto al picco di un anno fa, intorno al 50%, con circa la metà di tutti i download di malware su HTTP e HTTPS provenienti da app cloud popolari e l'altra metà da siti web tradizionali. Durante tutto questo periodo, il settore sanitario è rimasto indietro rispetto ad altri settori, ma con un divario sempre più ristretto. Oggi, circa il 40% di tutti i download di malware nel settore sanitario proviene da app cloud, rispetto a circa il 30% di un anno fa. L'abuso delle app cloud permette al malware di passare inosservato e di eludere i controlli di sicurezza regolari che si basano su strumenti come le liste di blocco dei domini o che non ispezionano il traffico cloud.

Rispetto alla media di altri sei settori dell'ultimo anno, il settore sanitario ha la percentuale più bassa di download di malware dal cloud.

App cloud abusate per la diffusione di malware

Un tema ricorrente in questo rapporto è che Microsoft OneDrive è l'app più popolare nel settore sanitario, ma la sua popolarità è indietro rispetto ad altri settori. Nel caso della consegna di malware, non è diverso. Il settore sanitario ha registrato più download di malware provenienti da OneDrive che da qualsiasi altra app cloud, ma a un tasso inferiore di 11 punti rispetto ad altri settori. Allo stesso modo, Microsoft SharePoint è meno popolare nel settore sanitario e ha registrato meno download di malware rispetto ad altri settori. Tutte le altre app nella top ten erano leggermente più alte nel settore sanitario rispetto ad altri settori.

Il fatto che sia la popolarità complessiva di OneDrive sia l'incidenza dei download di malware da OneDrive fossero inferiori nel settore sanitario sottolinea una relazione cruciale tra questi due fenomeni. Gli avversari criticano Microsoft OneDrive perché è l'app di storage cloud più popolare. Nel frattempo, chi usa regolarmente Microsoft OneDrive è più propenso a cliccare sui link per scaricare i file condivisi con loro su quella piattaforma. Pertanto, il numero di download di malware che Netskope rileva e blocca da Microsoft OneDrive riflette sia tattiche avversarie (abusare di OneDrive per distribuire malware) sia il comportamento delle vittime (la probabilità di cliccare sui link e scaricare il malware).

Le principali famiglie di malware e ransomware

Questa lista contiene le prime 10 famiglie di malware e ransomware rilevate da Netskope che hanno preso di mira gli utenti del settore sanitario negli ultimi 12 mesi:

Backdoor.Zusy (alias TinyBanker) è un Trojan bancario basato sul codice sorgente di Zeus, con l'obiettivo di rubare informazioni personali tramite iniezione di codice nei siti web.
Botnet.Amadey è una botnet apparsa intorno all'ottobre 2018 e venduta nei forum di hacking di lingua russa. Il malware può raccogliere informazioni dai computer infetti e inviarle al server C2. Può anche ricevere attività da eseguire tramite la botnet.
Botnet.Mirai è uno dei botnet più famosi che prende di mira dispositivi di rete esposti che esegueno Linux. Scoperto nel 2016, questo malware ha preso di mira una vasta gamma di dispositivi come router, telecamere e altri dispositivi IoT. Dalla fuga del codice sorgente, il numero di varianti di questo malware è aumentato considerevolmente.
Infostealer.Azorult (alias PuffStealer) è un malware che mira a rubare informazioni sensibili come le password degli account.
Phishing.PhishingX è un file PDF dannoso utilizzato come parte di una campagna di phishing per reindirizzare le vittime a una pagina di phishing.
RATTO. ComRAT è un impianto di secondo stadio utilizzato dal gruppo di minaccia Turla . La prima versione di ComRAT è stata identificata nel 2007. Il malware può inviare informazioni all'attaccante e ricevere comandi da eseguire.
RAT.NetWiredRC (noto anche come NetWire RC) è un malware associato ad APT33, che mira a fornire accesso remoto e rubare informazioni sensibili, come le password.
RATTO. NjRAT (alias Bladabindi) è un trojan di accesso remoto con molte funzionalità, tra cui la registrazione dei tasti, il furto di credenziali dai browser, l'accesso alla telecamera della vittima e la gestione dei file.
Trojan.Ursnif (alias Gozi) è un Trojan bancario e backdoor, il cui codice sorgente è stato trapelato su GitHub nel 2005, permettendo agli attaccanti di creare e distribuire molte varianti.
Trojan.Valyria (noto anche come POWERSTATS) è una famiglia di documenti Microsoft Office dannosi che contengono VBScript dannosi incorporati, solitamente per consegnare altri payload dannosi.

Raccomandazioni

Questo rapporto ha evidenziato l'aumento dell'adozione cloud, inclusa una maggiore quantità di dati caricati e scaricati da varie app cloud. Ha inoltre evidenziato una tendenza crescente di attaccanti a abusare di varie app cloud, in particolare app aziendali popolari, per fornire malware (principalmente trojan) alle loro vittime. Netskope Threat Labs raccomanda alle organizzazioni del settore sanitario di rivedere la loro postura di sicurezza per assicurarsi di essere adeguatamente protette da queste tendenze:

Ispeziona tutti i download HTTP e HTTPS, inclusi tutti i traffici web e cloud, per evitare che malware possa infiltrarsi nella tua rete. Netskope clienti possono configurare il loroNetskope NG-SWG con una Threat Protection Policy che si applica ai download di tutte le categorie e a tutti i tipi di file.
Assicurarsi che i tipi di file ad alto rischio, come file eseguibili e archivi, vengano ispezionati attentamente utilizzando una combinazione di analisi statica e dinamica prima di essere scaricati. I clienti Netskope Advanced Threat Protection possono utilizzare una Policydi prevenzione del paziente zero per sospendere i download finché non saranno stati completamente ispezionati.
Configurare i criteri per bloccare i download da app e istanze non utilizzate nella tua organizzazione, in modo da ridurre la superficie di rischio solo alle app e alle istanze necessarie per l'azienda.
Configura la Politica per bloccare i caricamenti su app e istanze non utilizzate nella tua organizzazione per ridurre il rischio di esposizione accidentale o deliberata di dati da parte di insider o abusi da parte di attaccanti.
Utilizzare un sistema di prevenzione delle intrusioni (IPS) in grado di identificare e bloccare modelli di traffico dannosi, come il traffico di comando e controllo associato a malware diffusi. Bloccando questo tipo di comunicazione è possibile prevenire ulteriori danni, limitando la capacità dell'aggressore di eseguire ulteriori azioni.
Utilizza la tecnologia Remote Browser Isolation (RBI) per ottenere una protezione aggiuntiva quando è necessario visitare siti web che rientrano in categorie che possono presentare rischi più elevati, come domini appena osservati e appena registrati.

Netskope Threat Labs

Composta dai massimi ricercatori del settore in minacce cloud e malware, Netskope Threat Labs scopre, analizza e progetta difese contro le ultime minacce cloud che colpiscono le aziende. I nostri ricercatori sono presentatori e volontari regolari nelle principali conferenze sulla sicurezza, tra cui DefCon, BlackHat e RSA.

Informazioni su questo rapporto

Netskope offre protezione contro le minacce a milioni di utenti in tutto il mondo. Le informazioni presentate in questo rapporto si basano su dati di utilizzo anonimizzati raccolti dalla piattaforma Netskope One relativi a un sottoinsieme di clienti Netskope con autorizzazione preventiva.

Questo rapporto contiene informazioni sui rilevamenti rilevati dal Netskope One Next Generation Secure Web Gateway (NG-SWG), senza considerare l'importanza dell'impatto di ciascuna minaccia. Le statistiche in questo rapporto si basano sul periodo dal 1° marzo 2023 al 27 febbraio 2024. Le statistiche riflettono le tattiche degli attaccanti, il comportamento degli utenti e le politiche dell'organizzazione.